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Введение 


Конечно, скажете вы, дорогие читатели, исправлять чужую программу нехо- 
рошо и даже противозаконно. Когда-то в эпоху незабвенной М$-20$ автор 
этих строк написал небольшой резидентный драйвер для принтера. В те да- 
лекие времена часто возникала проблема русификации либо перекодировки 
принтеров. И вот спустя год я обнаружил свой драйвер в одном из учрежле- 
ний, который был установлен неким господином Х. Но драйвер был не 
только установлен, была изменена и подпись, так что получилось, что драй- 
вер был написан этим господином. Неприятный осадок у меня остался до 
сих пор, хотя на этого человека я уже давно не сержусь. Так что мне понят- 
ны чувства авторов, программы которых подверглись незаконному исследо- 
ванию и изменению. 


Но закрывать глаза на то, что объективно существует, мы также не можем. 
Мы должны знать оружие врага, чтобы эффективно строить защиту своих 
собственных программ. Атаки взломщиков и компьютерные вирусы в дейст- 
вительности играют и положительную роль — они заставляют разработчиков 
программного обеспечения более внимательно относиться к своим продук- 
там. В небольших дозах атаки на софт и компьютерные вирусы — это сти- 
муляторы иммунной системы ПО, хотя в большом количестве это может 
привести к "заболеванию" и даже "смерти". В книге даны примеры исследо- 
вания и исправления исполняемого кода, но все они приводятся только в 
качестве учебного материала. 


Есть и другие причины исследовать исполняемый код. Понимание испол- 
няемого кода, т. е. того, как те или иные структуры языка высокого уровня 
преобразуются в ассемблерные команды, может помочь нам в написании 
более эффективных и оптимизированных программ. Часто для понимания 
ошибки, которая возникает при работе программы, требуется низкоуровне- 
вая отладка. Наконец, как мне кажется, любому профессиональному про- 
граммисту просто интересно понять, как работают его программы, во что 
преврашается текст программы, скажем, на С++ или Берш, после того как 
над ним поработает транслятор. Так что лишний раз повторюсь, что все 
примеры, которые приводятся в данной книге, направлены на положитель- 
ные цели и ни в коем случае не на противоправные действия. 
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Я не планировал эту книгу как учебное пособие, хотя время появления та- 
ковых в данной области уже, наверное, пришло. Это скорее попытка систе- 
матизировать материал, который уже давно копился у меня и до сих пор не 
находил воплощения. Возможно, в будущем есть смысл сделать из данной 
книги учебник по исследованию исполняемого кода, чем я с удовольствием 
займусь. 


Значительное место в книге уделено таким мощным средствам исследования 
исполняемого кода, как дизассемблер ТЛА Р!го и отладчик ЗО1СЕ. Я очень 
надеюсь, что читатель возьмет на вооружение эти по истине безграничные 
по своим возможностям инструменты. 


В книге довольно много справочного материала. Возможно, это признаки 
типичной программисткой болезни, которая проявляется в попытках напи- 
сания самодостаточной универсальной программы, что чаще всего лишь не- 
сбыточная мечта. Мне все же кажется, что не хватает книг, которые бы не 
вынуждали читателя после прочтения каждых десяти страниц усиленно 
рыться в других книгах и Интернете. 


При написании книги я ориентировался на операционные системы семей- 
ства \/до\$ М№МТ/2000/ХР/З$егуег 2003. Хотя многое, что содержится в дан- 
ной книге, будет, несомненно, справедливо и для операционных систем 
\УМпао\5 9х, но я не проверял материал на этих системах. 


Большинство примеров, которые я разбираю в данной книге, относятся к 
языку С++ и компилятору У15иа! С++. В меньшей степени я рассматриваю 
компилятор ВоЙапа С++ 5.0, еще в меньшей степени касаюсь языка и ком- 
пилятора Вер!:. "Почему такое ограничение?" — спросите вы. Просто я вы- 
брал за основу классический язык программирования и самый мощный и 
популярный компилятор. 


К книге прилагается компакт-диск с листингами и графическими схемами, 
используемыми в книге. 


Для кого эта книга 


Прежде всего, книга не предназначена для читателей, не знакомых с про- 
граммированием. Если вы, дорогие друзья, программируете на каком-либо 
языке высокого уровня, но не знаете языка ассемблера, то вам время от 
времени все же придется заглядывать и в какую-нибудь книжку, где толково 
говорится об этом языке. Вполне может подойти и моя книга "Ассемблер на 
примерах" [2]. Я привожу также много примеров и на языке С++, которые, 
я уверен, не вызовут затруднений у программирующих читателей. 
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Надеюсь, что книга будет полезна всем, кто интересуется внутренним уст- 
ройством программ, механизмом их работы, тем как операторы языка высо- 
кого уровня превращаются в машинные команды, в общем, всем компью- 
терщикам, в ком бьется исследовательская жилка и кто интересуется 
секретами программирования. 


Благодарности 


Благодарю Шишигина Игоря, который предложил мне написать данную 
книгу. Я получил массу удовольствия, работая над ней, и теперь очень на- 
деюсь, что и читатель найдет данную книгу полезной и приятной во всех 
отношениях. 
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Введение 
в дизассемблирование 


Ассемблер и дизассемблер — две стороны одной медали. Ассемблер превращает 
текст программы на языке ассемблера в двоичный код, дизассемблер перево- 
дит модуль в двоичном коде в последовательность ассемблерных команд. Для 
анализа дизассемблированного кода, таким образом, крайне важно знать ма- 
шинные команды, их двоичный формат и ассемблерное представление. Очень 
важно понимать структуру представления данных в памяти компьютера, а 
также знать структуру программ, написанных для операционной системы 
\УИпао\з. Все это мы будем обсуждать в данной главе. 


1.1. Представление информации 
в памяти компьютера 


Цель данного раздела — посмотреть, как числовые данные размешаются в 
памяти компьютера. 


1.1.1. Заглянем в память 


Обратимся к простой программе на языке С (листинг 1.1)'. Программа при- 
звана вывести содержимое области памяти, начиная с блока, где хранится 
значение переменной к. Такая выведенная на какое-либо устройство область 
памяти называется дампом (от англ. 4итр). В листинге 1.1 представлена 


! Здесь и далее все программы на языке С будут компилироваться с помошью Миа! 
С++ (из У1виа! Зи4ю „МЕТ 2003), лучшим, на мой взгляд, на сегодняшний день 
транслятором языка С++. Особые случаи мы обговорим отдельно. 
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программа, которая выводит на текстовый экран область памяти, где хра- 
нятся переменные. 





#10с1аае <5ЕА1о.в> 


#1пс1аае <м1паом$.П> 
106 К=0х1667; 
ВУТЕ *р=(ВУТЕ*) &К; 
уо1А та1п() 
{ 
106 7=0; 
ре1пЕЕ("\п$р ",Ъ); 
Еог (110 1=0; 1<400; 1++) 
{ 
ре1пЕЕ("$02х ",* (6++)); 
1Е(++)==16881<398) { 


реп Ё("\п"); 
9=0; 
ре1пеЕ ("%р ",Ъ); 
}; 
}; 
ре1пЕЁЕ("\п"); 


}; 


Воспользуемся менеджером Еаг и запустим откомпилированную нами про- 
грамму. На экран консоли будет выведена таблица шестнадцатеричных чи- 
сел (рис. 1.1). 


Судя по рисунку, в памяти, кроме значения переменной к, равного 0х1667 
(младший байт слова имеет меньший адрес), находятся и другие данные. 
Что это за данные? Как разобраться в таблицах шестнадцатеричных чисел? 
Мы начнем наше рассмотрение с элементарных, на взгляд, я думаю, многих 
подготовленных читателей, вопросов, связанных с представлением чисел в 
памяти компьютера. Те, кто хорошо владеет этим материалом, спокойно 
могут пропустить разд. 1.1.2 и 1.1.3. 


Введение в дизассемблирование 7 


\ргодгать\ се тетогу\ КеТеазе-тотогу, еха 


930408040 
00408050 
00408060 
00408070 
90408080 


00408100 
00408110 
00408120 


40160 
90408170 
90408180 
00408190 





Рис. 1.1. Дамп, выводимый программой из листинга 1.1 


1.1.2. Системы счисления 


Десятичная система счисления 


Десятичная система счисления знакома нам с детства. Она естественна для 
нас и освещена вековыми традициями. Двоичная система счисления не 
привычна для нас, но естественна для компьютера. Память его состоит из 
элементов, которые могут находиться в двух состояниях. Поэтому логично, 
что одно состояние принято обозначать как 0, а другое как 1. В результате 
вся информация в памяти записывается в виде двоичных чисел, т. е. после- 
довательности нулей и единиц. Кроме этого память также делят на блоки по 
восемь элементов, которые называют ячейками памяти или байтами. Один 
разряд в двоичной записи числа называют также битом. Таким образом, ка- 
ждая ячейка памяти будет состоять из восьми двоичных разрядов или вось- 
ми битов. 


Вспомним, что десятичные числа — это числа по основанию 10, т. е. любое 
десятичное число может быть представлено в виде суммы по степеням 10, 
где коэффициентами служат разряды числа. Вот так: 


4567 = 4х103 +5х102 +6х10! +7х100. 
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Другими словами, каждый разряд дает вклад в зависимости от позиции, ко- 
торую он занимает. Позиция эта определяется номером справа налево, на- 
чиная с нуля. Такие системы счисления называют еще позиционными. 


Двоичная система счисления 


Двоичная система счисления также является позиционной. Любое двоичное 
число, таким образом, может быть представлено в виде суммы степеней 
числа 2: 

11101001 = 1х27 +1х26 +1х25 +0х24 +1х23 +0х22 +0ж21 +1х20. 


Данный способ записи двоичного числа является, по сути, и способом пере- 
вода его в другую систему счисления. В частности, выполнив действия в де- 
сятичной системе счисления, мы получим число 233. 


Перевести десятичное число в двоичное представление несколько сложнее. 
Это делается по следующей схеме: 


1. Делим число на 2. 
2. Если результат больше единицы, То возвращаемся к пункту 1. 


3. Двоичное число составляется из последнего результата деления (старший 
бит), а также всех остатков от деления. 


Рассмотрим перевод в двоичную систему счисления числа 350 (рис. 1.2). 


Рис. 1.2. Перевод в двоичную систему счисления числа 350 


В результате представленных выше вычислений можно видеть, что двоич- 
ным представлением числа 350 будет 101011110. 


Для того чтобы в программах на языке ассемблера различать числа в раз- 
ных системах счисления, в конце записи числа используется однобуквен- 
ное окончание: для двоичной системы счисления это окончание В. Для 


Введение в дизассемблирование 9 


десятичных чисел используется окончание О, которое может быть опуще- 
но. Для шестнадцатеричных чисел окончание Н. Например, 100008, 345Н, 
100 ит. д. 

По аналогии с десятичными дробями можно рассматривать двоичные дроби. 
Например, двоичное число 1001,1101 можно представить как: 


1х23 +0х22 +0х21 +1х20 +1х (1/2)! +1х(1/2)? +0х(1/2) +1х(1/2)*. 


Очевидно, что перевод двоичной дроби в десятичную систему счисления 
производится также просто выполнением действий. Переведем, например, 
число 1001,1101 в десятичный формат. Для этого выполним все указанные в 
представлении двоичного числа действия. В результате получаем десятич- 
ную дробь 9,8125. 


Перевод десятичной дроби в двоичную систему производится также доста- 
точно просто. Целая и дробная части дроби переводятся отдельно. Как пе- 
реводится целая часть, мы уже знаем. Перевод дробной части осуществляет- 
ся с помошью следующих шагов: 


1. Нужно умножить дробную часть на 2 (основание системы). 


2. В полученном числе необходимо выделить целую часть (это будет либо 0, 
либо 1) — это и будет первый после запятой разряд в двоичной системе 
счисления. 


3. Если дробная часть получившегося числа отлична от нуля, то следует 
перейти к пункту 1, в противном случае закончить вычисления. Можно 
установить точность вычисления, т. е. количество полученных после за- 
пятой разрядов и прекратить вычисления по достижению этой точности. 


0,406х2 (1/2 хо 
0,812х2 (1/2)2х 1 
0,624 х2 (1/2)3х 1 
0,248 х2 (1/2)4 х 0 
0,496 х2 (1/2) хо 
0,992 х2 (1/2)6 х 1 
0,984 х2 (1/2)7х 1 
0,968 х 2 (1/2)8 х 1 
0,936 х 2 (1/2) х 1 


Рис. 1.3. Перевод дробной части числа 105,406 
в двоичную систему счисления 
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Рассмотрим конкретный пример преобразования десятичного числа 105,406 
в двоичное представление. Как перевести целую часть числа, мы уже знаем. 
Таким образом, число 1095 в двоичном представлении — это 1101001. Для 
перевода дробной части воспользуемся описанной схемой. На рис. 1.3 пред- 
ставлена последовательность вычислений. Замечу, что мы оказались вынуж- 
денными остановиться на девяти знаках после запятой. 


В результате наших вычислений получаем, что 
105, 406 = 1101001,011001111. 


Таким образом, перевод десятичных чисел в двоичный формат, в котором 
они хранятся в памяти компьютера — это дополнительный фактор потери 
точности. 


Шестнадцатеричная система счисления 


Шестнадцатеричная система счисления более компактна, чем десятичная 
система счисления. Числа в шестнадцатеричной системе легко переводятся 
в двоичную систему и обратно, и, наконец, она лучше всякой другой систе- 
мы соответствует архитектуре памяти компьютера. Для записи чисел в этой 
системе счисления используются шестнадцать символов (десять цифр и 
шесть букв): 0, 1, ..., 9, А, В, С, О, Е, Е. Способ перевода числа из десятич- 
ной системы счисления в шестнадцатеричную систему и обратно аналоги- 
чен способу, описанному в предыдущем разделе, с той лишь разницей, что 
здесь основанием системы счисления является 16, а не 2. Я думаю, что чи- 
татель без труда справится с этим вопросом самостоятельно. 


Остановимся на переводе чисел из шестнадцатеричной системы в двоичную 
систему и обратно. Принцип здесь чрезвычайно прост: каждому разряду ше- 
стнадцатеричного числа соответствует четыре разряда (тетрада) двоичного 
и числа и наоборот. На рис. 1.4 представлен пример преобразования двоич- 
ного числа 10101101 в шестнадцатеричную систему счисления. 


10101101 


Не нее ре --- 


ОИ 


1 
О 





А 


= АО 


Рис. 1.4. Преобразование двоичного числа 10101101 
в шестнадцатеричную систему счисления 
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На рис. 1.5 представлено обратное преобразование шестнадцатеричного 
числа 14А в двоичное число. 


кд 


0001 0010 1010 = 100101010 


14А = 


Рис. 1.5. Преобразование шестнадцатеричного числа 14А 
в двоичное число 


Итак, шестнадцатеричная система счисления хорошо укладывается в архи- 
тектуру памяти компьютера. Действительно, память компьютера разбивается 
на ячейки по восемь битов. Но восемь битов как раз соответствуют двум 
разрядам в шестнадцатеричной записи числа. Например, очевидно, что чис- 
ло 1345н будет занимать две ячейки памяти, причем в младшей ячейке (так 
принято), т. е. ячейке с меньшим адресом, будет находиться 45н, а в стар- 
шей — 13н. 


В случае дробных чисел перевод из шестнадцатеричной системы счисления 
в двоичную систему и обратно производится также просто, как это делается 
с целыми числами. Дробная часть, как и целая, переводится по принципу: 
один разряд в шестнадцатеричной системе соответствует четырем разрядам 
двоичной системы. Рассмотрим двоичное дробное число 101,10001 и переве- 
дем его в шестнадцатеричную системы счисления. Имеем 101 ->› 0101 -> 5. 
Далее дробная часть 10001 —› 10001000 -› 88 (заметьте, что четверки разря- 
дов в дробной части отсчитываются слева направо). В результате получаем, 
что число 101,10001 в двоичной системе счисления равно числу 5,88 в шест- 
надцатеричной системе счисления. Как и в случае целой части, перевод 
дробной части сводится к выделению четверок и дополнении нулями не- 
полных четверок (но только справа). 


1.1.3. Представление чисел в компьютере 


Беззнаковые целые числа 


Принцип представления беззнаковых целых чисел в компьютере достаточно 
тривиален: 


С число должно быть переведено в двоичную систему счисления; 


О должен быть определен объем памяти для этого числа. 


12 Глава 1 





Как мы уже говорили, это удобно делать, когда число представлено в шест- 
надцатеричной системе счисления, и тогда станет ясно, сколько ячеек памя- 
ти необходимо для хранения этого числа. Принято выделять: одинарные 
ячейки памяти (байты), двойные ячейки (слова), четвертные ячейки (четыре 
байта). В языке ассемблера имеются специальные директивы для резерви- 
рования памяти для числовых констант и переменных: 

Имя1 ОВ значение 
Имя2 ПМ значение 
Имя3 РР значение 
Имя4 ПРО значение 
Имя5 ОТ значение 


; резервируем один байт 
; резервируем два байта 
; резервируем четыре байта 


; резервируем восемь байтов 


>> ББ шо 


; резервируем десять байтов 


Если речь идет о переменной, а чаще так и бывает, необходимо определить 
диапазон, в котором будет меняться значение переменной и, исходя из 
этого, резервировать для нее память. Поскольку современные процессоры 
Ге! ориентированы на операции с 32-битными числами, то оптимальнее 
все же ориентироваться на переменные такой же размерности. 


Рассмотрим фрагмент программы на языке С. 


ВУТЕ е=0хаь; 

ИОВР с=0х1234; 

РИОВР Ь=0х34567890; 

__ 11664 а=0х6178569812324572; 


В данном фрагменте задано четыре переменных: однобайтовая е, двухбайто- 
вая с, четырехбайтовая ь2, восьмибайтовая а. С помощью программы, кото- 
рую я продемонстрировал в листинге 1.1, выведем область памяти, где хра- 
нятся эти переменные. Вот полученная последовательность байтов: 


ар 00 00 00 34 12 00 00 90 78 56 34 00 00 00 00 72 45 32 12 98 56 78 61 


Внимательно посмотрев на данную цепочку байтов, вы без труда обнаружи- 
те все наши переменные. Что важного можно почерпнуть из данной после- 
довательности? 


СО Как вы помните, в листинге 1.1 мы выводили содержимое памяти в 
сторону старших адресов. Таким образом, мы видим, что младшие бай- 
ты чисел (переменных) в слове занимают в памяти младшие адреса. 
В свою очередь младшие слова в удвоенном слове — младший адрес. 
И, наконец, если рассматривать 64-битную переменную, то в ней 
младшее удвоенное слово должно занимать младший адрёс. Это очень 
важный момент именно для анализа двоичного кода. В дальнейшем по 


2 ВУТЕ — это просто ипурпе сНаг, ИОво — ипявпеЯ зпой и\ф, риовро — ипярпеф шё. 
Определение этих типов есть, например, в заголовочном файле \тдо\5.п. 
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одному виду области памяти вы сможете во многих случаях сразу иден- 
тифицировать переменные. 


С Как видно, на все переменные затрачивается объем памяти, кратный че- 
тырехбайтовой величине. После каждой инициализированной перемен- 
ной компилятор вставляет директиву выравнивания по 32-битной грани- 
це (41190 4). Впрочем, все совсем не так просто, и при другом порядке 
следования переменных выравнивание может быть иным. К данному во- 
просу мы вернемся в разд. 3. 1. 1. 


Примеры 
Итак. 16-битное число АЗЭОН в памяти будет храниться как последователь- 
ность байтов 90 48. 32-битное число 67896512Н — как последовательность 


12 65 89 67. И, наконец, 64-битное число г5С6899001327650Н — как 50 76 32 
01 90 89 С6 Е5. 


Числа со знаком 


Поскольку в памяти нет ничего, кроме двоичных разрядов, то вполне ло- 
гично было бы выделить для знака числа отдельный бит. Например, имея 
одну ячейку, мы могли бы получить диапазон чисел от —127 до 127 
(11111111—01111111). Подход был бы не так уж и плох. Вот только при- 
шлось бы вводить отдельно сложение для знаковых и беззнаковых чисел. 
Существует и другой, альтернативный способ введения знаковых чисел. 
Алгоритм построения заключается в том, что мы объявляем некоторое число 
заведомо положительным и далее ищем для него противоположное по знаку 
исходя из очевидно тождества: а + (-а) = 0. 


На множестве однобайтовых чисел за единицу естественно взять двоичное 
число 00000001. Решая уравнение 00000001 + х = 00000000, мы приходим к 
неожиданному на первый взгляд результату х = 11111111; другими словами, 
за —-1 мы должны принять число 11111111 (255 в десятичном эквиваленте и 
ЕЕ в шестнадцатеричном). Попробуем развить нашу теорию. Очевидно, что 
—1 - (1) = -2, т.е., по логике вещей, за —-2 мы должны принять число 
11111110. Но с другой стороны число 00000010 вроде бы должно представ- 
лять +2. Посмотрите 11111110 + 00000010 = 00000000, т. е. выполняется оче- 
видное тождество +2 + (-2) = 0. Итак, мы на верном пути и процесс можно 
продолжить (табл. 1.1). 


Таблица 1.1. Знаковые однобайтовые числа 









Отрицательные Двоичные 
числа представления 


00000000 
11111111 


Положительные Двоичное 
числа представление 


00000000 
00000001 




















Таблица 1.1 (окончание) 


Положительные —Двоичное Отрицательные Двоичные 
числа представление числа представления 
+2 00000010 —2 11111110 
+3 00000011 _3 11111101 
+4 00000100 —4 11111100 
+5 00000101 _5 11111011 
+120 01111000 —120 10001000 
+121 01111001 —121 10000111 
+122 01111010 —122 10000110 
+123 01111011 —123 10000101 
+124 01111100 —124 10000100 
+125 01111101 —125 10000011 
+126 01111110 —126 10000010 
+127 01111111 —127 10000001 
+128 Не существует в —128 10000000 


пределах 1 байта 


Внимательно посмотрите на таблицу. Что же у нас получилось? Знаковые 
числа оказываются в промежутке —128 до 127. 


Таким образом, однобайтовое число можно интерпретировать и как число 
со знаком, и как беззнаковое число. Тогда, например, 11111111 в первом 
случае будет считаться —1, а во втором случае 255. Все зависит от нашей ин- 
терпретации. Еще интереснее операции сложения и вычитания. Эти опера- 
ции будут выполняться по одной и той же схеме и для знаковых, и для без- 
знаковых чисел. По этой причине и для операции сложения, и для 
операции вычитания у процессора имеется всего по одной команде: Арр и 
зов. Разумеется, при выполнении действия может возникнуть переполнение 
или перенос в несуществующий разряд3, но это отдельный разговор, и ре- 
шить проблему можно, зарезервировав еще одну ячейку памяти. Все наши 
рассуждения легко переносятся на двух- и четырехбайтовые числа. Так, 
максимальное двухбайтовое беззнаковое число будет 65 535, а знаковые чис- 


3 Легко показать, что возможность одновременного представления и знаковых, и 
беззнаковых чисел заложена в том, что мы ограничиваем размер числа одним или 
несколькими байтами. 
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ла окажутся в промежутке от —32 768 до 32 767. Еще один интересный мо- 
мент касается старшего бита. Как мы видим, по нему можно определить 
знак. Но в данной схеме бит совсем не изолирован и участвует в формиро- 
вании значения числа вместе с остальными битами. 


Уметь хорошо ориентироваться в знаковых и беззнаковых числах очень 
важно для исследователя программного кода. Встретив, скажем, команду 
спр еах, ОЕЕЕЕЕЕЕЕВ 


следует иметь в виду, что в действительности это, возможно, команда 


стр еах, -2 


Рассмотри м последовательность переменных: 


$1апеа сраг е=-2; 
зВогЕ 116 с=-3; 
106 Ь=-4; 

__ 11664 а=-5; 


Как видим, это все знаковые переменные с отрицательным значением. При 
выводе фрагмента памяти, содержащего данные переменные, получим сле- 
дующую последовательность байтов: 


Ее 00 00 00 Еа ЕЕ 00 00 Ес ЕЕ ЕЕ ЕЕ 00 00 00 00 ЕЬ ЕЕ ЕЕ ЕЕ ЕЕ ЕЁ ЕЁ ЕЕ 


Итак, значение однобайтовой переменной -2 в памяти компьютера пред- 
ставлено байтом РЕН, значение двухбайтовой переменной -3з представлено 
последовательностью ЕЕЕОН, значение четырехбайтовой переменной -4 — 
последовательностью ЕЕЕЕЕЕЕСН, И, наконец, отрицательная восьмибайтовая 
переменная со значением -5 представлена байтами ЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕВН. На- 
поминаю, что при представлении восьмибайтового числа младшие четыре 
байта должны находиться по адресу, меньшему, чем старшие. 


Вещественные числа 


Для того чтобы использовать вещественные числа в командах процессора 
пе! (командах арифметического сопроцессора“), они должны быть пред- 
ставлены в памяти компьютера в нормализованном виде. В общем случае 
нормализованный вид числа выглядит так: 


А = (2№)хМхм9. 


Здесь № — знак числа; М — мантисса числа, обычно удовлетворяет усло- 
вию М <1; М№ — основание системы счисления; 9 — показатель, в общем 


случае может быть и положительным, и отрицательным числом. Числа, пред- 


4 Начиная с процессора |1е! 486, арифметический сопроцессор является его частью. 
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ставленные таким образом, называют еще числами с плавающей точкой (или 
числами с плавающей запятой). 


Рассмотрим конкретный пример. Попытаемся представить в нормализован- 
ном виде число 5,75. Переведем вначале это число в двоичную систему 
счисления. В данном случае это делается достаточно легко. Действительно, 
5 — это 1001, а 0,75 — это (1/2) + (1/4). Другими словами 5,75 = 1001, 1В. 
Пишем далее 1001,11В = 1,00111х 23. Таким образом, мы имеем следующие 
компоненты нормализованного числа: ИМ = +1, М =100111, М =2, а=3. 


Заметим, что первая цифра мантиссы в таком представлении всегда равна 1, 
а, следовательно, ее можно и вообще не хранить, и в формате Пие! так и 
поступают. Кроме этого нужно иметь в виду, что показатель 4 в действи- 


тельности (для процессора П\е]) хранится в памяти в виде суммы с некото- 
рым числом, так чтобы всегда быть положительным. Процессор Пие| может 
работать с тремя типами вещественных чисел: 


С короткое вещественное число. Всего для хранения отводиться 32 бита. Би- 
ты 0—22 резервируются для мантиссы. Биты 23—30 предназначены для 
хранения показателя а ‚, сложенного с числом 127. Последний, 31-й бит, 
предназначен для хранения знака числа (1 — знак отрицательный, 0 — 
положительный); 


С длинное вещественное число. Для хранения такого числа отводится 64 бита. 
Биты 0—51 нужны для хранения мантиссы. Биты 52—62 предназначены 
для хранения числа а, сложенного с числом 1024. Последний, 63-й бит, 


определяет знак числа (|1 — знак отрицательный, 0 — положительный); 


С расширенное вещественное число. Для хранения числа отводится 80 битов. 
Биты 0—63 — мантисса числа. Биты 64—78 — показатель 4, сложенный 
с числом 16 383. 79-й, последний бит отводится для знака числа (1 — 
знак отрицательный, 0 — положительный). 


Очевидно, пришла пора разобрать конкретный пример представления в па- 
мяти вещественного числа. Итак, пусть в программе на языке С имеем объ- 
явление переменной: 


Е1оаЕ а=-80.5 
Тип Е1оак — это короткое вещественное число, т. е. в памяти оно, согласно 
вышезаписанному, будет занимать 32 бита. Попытаемся теперь нашим 


обычным способом заглянуть в память. Вот они, четыре байта, которые и 
призваны представлять наше число: 


00 00 а1 с2 

Чтобы легче было разбираться, представим последовательность из четырех 
байтов в двоичном виде: 

00000000 00000000 10100001 11000010 
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Или более понятным способом, начиная со старшего байта для выделения 
мантиссы, показателя и знака: 


11000010 10100001 00000000 00000000 


Выделим мантиссу. На нее отводится 23 бита. Имеем, таким образом, дво- 
ичное число 0100001. Учтите, что биты мантиссы отсчитываются, начиная 
со старшего (в данном случае 22-го) бита, а оставшиеся нули естественно 
отбрасываются, поскольку вся мантисса располагается справа от запятой. 
Правда, это еще не совсем мантисса. Как ранее было сказано, единица пе- 
ред запятой в представлении отбрасывается. Так что мы должны восстано- 
вить ее. Поэтому мантиссой будет число 1,0100001В. Знак всего числа, как 
мы видим, определяется единицей, следовательно, задает отрицательное 
число. А вот показатель нам следует получить из двоичного числа 
10000101В. В десятичном представлении это число 133. Вычитая число 127 
(для короткого вещественного числа), получим 6. Следовательно, для того 
чтобы получить из мантиссы истинное дробное число, нужно сместить в 
ней точку на шесть разрядов вправо. Окончательно получаем 1010000,1В. 
В шестнадцатеричной системе счисления это просто 50,8Н, а в десятичной 
получаем как раз 80,5. 


В качестве тренировки я бы вам предложил следующую цепочку байтов: 
00 80 ЕБ 42 


Попытайтесь доказать, что это есть не что иное, как представление числа 
125,75. 


Из сказанного в данном разделе можно сделать вывод, что при использова- 
нии в программе вещественных чисел они могут стать приближенными еще 
до того, как с ними были произведены какие-либо действия. Это вызвано 
тем, что для записи чисел в память их нормализуют. 


Двоично-десятичные числа 


Двоично-десятичные числа (Втагу-Со4е4 Оесита!, ВСО) — особый способ 
представления десятичных чисел в памяти компьютера, когда каждому деся- 
тичному разряду ставится в соответствие фиксированное число двоичных 
разрядов. Процессор Пе! поддерживает два вида таких чисел: упакованный 
и неупакованный. 


С Каждый разряд упакованного числа кодируется четырьмя битами. При 
этом в старших четырех битах содержится старшая цифра. Таким обра- 
зом, в байте может содержаться число в промежутке от 0 до 99. Напри- 
мер, число 56 будет представлено двоичным число 010101108. 


С Каждый разряд неупакованного числа кодируется одним байтом. Значи- 
мыми являются четыре младших байта, а четыре старших байта должны 
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содержать нули. Таким образом, в одном байте можно представить число 
от 0 до 9. 


ВСО-числа не так часто используются в программировании, поэтому мы не 
будем больше обращаться к этому вопросу. 


1.2. Обзор команд и регистров 
микропроцессора ще! Репйит 


Данный раздел целиком посвящен обзору команд микропроцессора [те] 
Репиит. В книге по исследованию кода исполняемых модулей, на мой 
взгляд, такой материал весьма полезен в качестве справочника, который 
всегда под рукой. 


1.2.1. Регистры микропроцессора Репйит 


Микропроцессор Репиит включает в себя регистры общего назначения, 
регистр флагов, сегментные регистры, управляющие регистры, системные 
адресные регистры, а также отладочные регистры. Особо следует отметить 
регистр ЕТР, который называют указателем команд. В нем всегда содержится 
адрес исполняемой команды относительно начала сегмента. К данному ре- 
гистру нет прямого доступа, но косвенно многие команды изменяют его со- 
держимое, например, команды передачи управления. 


Регистры общего назначения 
Перечислю их: 
ЕАХ = (16+АХ= (АН+АТ,) 


} 
ЕВХ = (16+ВХ= (ВН+В1) ) 
ЕСХ = (16+СХ=(СН+СЬ)) 
ЕОХ = (16+0Х= (РН+0т,)) ) 
ЕЗТ = (16+51т) 
ЕОТ = (16+0Т) 
ЕВР = (16+ВР) 
ЕЗР = (16+5Р) 


Регистры ЕАхХ, ЕВХ, ЕБХ, ЕСХ называют рабочими регистрами. Обратите вни- 
мание, что эти регистры имеют подрегистры. Например, первые 16 битов 
регистра ЕАХ обозначаются как Ах. В свою очередь младший байт Ах обозна- 
чается как Аф, а старший байт как Ан. Регистры ЕОтТ, ЕЗТ — индексные реги- 
стры, играют особую роль в строковых операциях. Регистр ЕВР обычно ис- 
пользуется для адресации в стеке параметров и локальных переменных. 
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Регистр ЕЗР — указатель стека, автоматически модифицируется командами 
РОЗН, РОР, ВЕТ, САЬЬ, НО ЯВНО используется реже. Регистры ЕЗТ, ЕРТ, ЕЗР, ЕВР 
также имеют подрегистры. Например, первые 16 битов регистра кот обозна- 
чаются как рт. 


Регистр флагов 


Содержит 32 бита. Далее приведены используемые значения битов этого 
регистра. 


С 0-й бит, флаг переноса (се), устанавливается в |, если был перенос из 
старшего бита при операции сложения или заем бита при операции вы- 
читания. 


О 1-й бит, 1. 


О 2-й бит, флаг четности (РЕ). Устанавливается в |, если младший байт ре- 
зультата содержит четное число единиц, и в 0 — в противном случае. 


С 3-й бит, 0. 


СО 4-й бит, флаг вспомогательного переноса (лк). Устанавливается в 1, если 
произошел перенос (или заем) из третьего бита в четвертый. 


СО 5-й бит, 0. 


С 6-й бит, флаг нуля (2=Е). Устанавливается в |, если результат операции — 
ноль, и в 0 — в противном случае. 


С 7-й бит, флаг знака (5). Равен старшему биту результата последней 
команды. 


С 8-й бит, флаг ловушки (т=). Установка в | этого флага приводит к тому, 
что после каждой команды вызывается тмт 3. Используется отладчиками 
в реальном режиме. 


С 9-й бит, флаг прерываний (тЕ=). Сброс этого флага в 0 приводит к тому, 
что микропроцессор перестает воспринимать прерывания от внешних 
устройств. 


С 10-й бит, флаг направления (0Е). Данный флаг учитывается в строковых 
операциях. Если флаг равен 1, то в строковых операциях адрес автомати- 
чески уменьшается. 


С 11-й бит, флаг переполнения (оЕ). Устанавливается в единицу, если ре- 
зультат операции над числом со знаком вышел за допустимые пределы. 


С 12-й, 13-й биты, уровень привилегий ввода/вывода (торт). Определяют, 
какой привилегией должен обладать код, чтобы ему было разрешено вы- 
полнить команды ввода/вывода, а также другие привилегированные 
команды. 
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С 14-бит, флаг вложенной задачи (мт). 
С 15-й бит, 0. 


С 16-й бит, флаг возобновления (вЕ). Используется совместно с регистрами 
точек отладочного останова. 


С 17-й бит, в защищенном режиме включает режим виртуального режима 
8086 (\м). 


С 18-й бит, флаг контроля выравнивания (Ас). При равенстве этого флага 1 
и при обращении к невыровненному операнду вызывает исключение 17. 


С 19-й бит, виртуальная версия флага те (уте). Работает в защищенном ре- 
жиме. 


С 20-й бит, виртуальный запрос прерывания (УтР). 
С 21-й бит, флаг доступности команды идентификации. 


О 22—31-й биты, должны содержать 0. 


Сегментные регистры 


с$ — сегмент кода, р$ — сегмент данных, $$ — сегмент стека, ЕЗ, 6$, ЕЗ — 
дополнительные регистры. Все сегментные регистры 16-битные. Назначение 
сегментных регистров — участвовать в формировании адреса памяти либо 
напрямую, либо посредством селекторов, которые указывают на некоторую 
структуру (в дескрипторной таблице), определяющей сегмент, где находится 
формируемый адрес. 


Управляющие регистры 
Перечислю их. 
С Регистр сво: 
» (0-й бит, разрешение защиты (РЕ). Переводит процессор в защищен- 
ный режим; 
» |-Й бит, мониторинг сопроцессора (мр). Вызывает исключение 7 по 
каждой команде маТт; 


» 2-й бит, эмуляция сопроцессора (Ем). Вызывает исключение 7 по каж- 
дой команде сопроцессора; 


» 3-й бит, бит переключения задач (т$). Позволяет определить, относит- 
ся данный контекст сопроцессора к текущей задаче или нет. Вызывает 
исключение 7 при выполнении следующей команды сопроцессора; 


» 4-й бит, индикатор поддержки инструкций сопроцессора (ЕТ); 
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» 5-Й бит, разрешение стандартного механизма сообщений об ошибке 
сопроцессора (МЕ); 


» 5—15-Й биты, не используются; 


» 16-й бит, разрешение защиты от записи на уровне привилегий супер- 
визора (иР); 


» [7-й бит, не используется; 
» 18-й бит, разрешение контроля выравнивания (Ам); 
» 19—28-й биты, не используются; 
» 29-й бит, запрет сквозной записи кэша и циклов аннулирования (ми): 
» 30-й бит, запрет заполнения кэша (со); 
» 31-Й бит, включение механизма страничной переадресации. 
О Регистр св1 пока не используется. 


О Регистр св2 хранит 32-битный линейный адрес, по которому был полу- 
чен последний отказ страницы памяти. 


О Регистр свз в старших 20 битах хранит физический базовый адрес табли- 
цы каталога страниц. Остальные биты: 


® 3-Й бит, кэширование страниц со сквозной записью (Рит). 
» 4-й бит, запрет кэширование страницы (РСЪ). 
С Регистр сва4: 


» 0-й бит, разрешение использования виртуального флага прерываний в 
режиме \8086 (умЕ); 


» |[-Й бит, разрешение использования виртуального флага прерываний в 
защищенном режиме (Рут); 


» 2-Й бит, превращение инструкции вот$с в привилегированную (т$0):; 


» 3-Й бит, разрешение точек останова по обращению к портам вво- 
да/вывода (ре); 


» 4-Й бит, включает режим адресации с 4-мегабайтными страницами 
(Р5Е); 


е 5-Й бит, включает 36-битное физическое адресное пространство (РАЕ); 
» б-й бит, разрешение исключения мс (мсЕ); 

» 7-Й бит, разрешение глобальной страницы (РСЕ); 

» 8-Й бит, разрешает выполнение команды воРМс (РМС); 


» 9-й бит, разрешает команды быстрого сохранения/восстановления со- 
стояния сопроцессора (Ев). 


22 


Глава 1 





Системные адресные регистры 


Эти регистры используются в защищенном режиме процессора |\е|, в ко- 
тором, в частности, и функционирует операционная система УМ т4о\5. 


0 


[и 


сотв — б-байтный регистр, в котором содержится линейный адрес гло- 
бальной дескрипторной таблицы. 


тотв — 6-байтный регистр, содержащий 32-битный линейный адрес таб- 
лицы дескрипторов обработчиков прерываний (тот). 


ТтоТтк — 10-байтный регистр, содержащий 16-битный селектор (индекс) 
для СОТ и 8-байтный дескриптор. 


тв — 10-байтный регистр, содержащий 16-битный селектор для СОТ и 
весь 8-байтный дескриптор из СОТ, описывающий Т$5 текущей задачи. 
Т$$ — это сегмент специального формата, который содержит всю необ- 
ходимую информацию о задаче, а также специальное поле, обеспечи- 
вающее связь задач между собой. 


Регистры отладки 


К ним относятся следующие регистры. 


[№ 


рво—ркз — хранят 32-битные линейные адреса точек останова (конт- 
рольных точек). Механизм работы регистров таков: любой формируемый 
программой адрес сравнивается с адресами, хранящимися в регистрах, и 
если есть совпадение, то генерируется исключение отладки (тмт 1). 


рвб (равносильно 054) — отражает состояние контрольных точек. Биты 
этого регистра устанавливаются в соответствии с причинами, которые 
вызвали исключение отладки. Вот значащие биты этого регистра: 


» бит 0, если значение этого бита равно нулю, то последнее исключение 
произошло по достижению контрольной точки, определенной в ово; 


» бит |, аналогичен биту 0, но для регистра рв1; 
» бит 2, аналогичен биту 0, но для регистра ов2; 
» бит 3, аналогичен биту 0, но для регистра рвз; 
® бит 13, служит для защиты регистров отладки; 


е бит 14, если значение бита равно |, то исключение произошло из-за 
того, что флаг ловушки (бит 8 в регистре флагов) равен 1; 


» бит 15, если значение бита равно 1, то исключение вызвано переклю- 
чением на задачу с установленным битом ловушки. 


рв7 (равносильно 085) — управляет установкой контрольных точек. В дан- 
ном регистре для каждого регистра отладки (рв0о—083) имеются поля, оп- 
ределяющие условия, при которых следует сгенерировать прерывание. 
Первые четыре пары битов регистра (8 битов), по паре на каждый ре- 
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гистр, задают, будет соответствующий регистр определять контрольную 
точку для локальной задачи (первый бит пары должен быть равен 1) или 
на все задачи системы (второй бит пары равен 1). Биты с 16 по 31 реги- 
стра определяют тип доступа, при котором будет срабатывать прерывание 
(при выборке команды, записи или чтении из памяти), и размер данных: 


е биты 16—17, 20—21, 24—25, 28—29 определяют тип доступа: 00 — по 
команде, 01 — на запись, 11 — считывание и запись, 10 — не исполь- 
зуется; 


» биты 18—19, 22—23, 26—27, 30—31 задают размер операнда: 00 — байт, 
01 — два байта, 11 — четыре байта, 10 — не используется. 


1.2.2. Основной набор команд 


К основному набору я отношу все команды микропроцессора, кроме команд 
математического сопроцессора и команд ММХ. 


Принятые в табл. 1.2—1.18 обозначения: 


О аезь, экс — операнд-источник и операнд-получатель; 


ооо 


Оо 


п — обозначает операнд, расположенный в памяти; 

х — обозначает операнд — регистр процессора; 

г8, г16, 32 — 8-, 16-, 32-битные регистры процессора; 
ши — 64-битный регистр ММХ; 


ш32 И тб4 — операнды, находящиеся в памяти и имеющие размер, соот- 
ветственно, 32 и 64 бита; 


1;32 — обычные регистры процессора; 


1лт — непосредственный операнд (константа) размером в 1 байт. 


Таблица 1.2. Команды пересылки данных 


Команда Описание 


МОУ аезЕ, 5гс Пересылка данных в регистр, из регистра, памяти или непо- 


средственного операнда. Пересылка данных в память из реги- 
стра или непосредственного операнда. Например, 


МОУ АХ, 10 

МОУ ЕВХ,ЕЗТ 

МОУ АБ, ВУТЕ РТВ МЕМ 
МОУ ПИМОВР РТК МЕМ, 10000Н 


ХСН г/п, г Обмен данными между регистрами или регистром и памятью. 


Команда “память—память" в микропроцессоре || не преду- 
смотрена 





24 Глава 1 


Таблица 1.2 (продолжение) 





Команда Описание 





ВЗИАР г32 Перестановка байтов из порядка "младший — старший" 


в порядок "старший — младший". Разряды 7—0 обмениваются 


с разрядами 31—24, а разряды 15—8 — с разрядами 23—16. 
Команда появилась в 486-м микропроцессоре 


МОУЗХВ г, г/м Пересылка байта с его расширением до слова или двойного 
слова с дублированием знакового бита: 


МОУЗХВ АХ, ВЬ 
МОУЗХВ ЕАХ,Бубе рег шем 


Команда появилась в 386-м процессоре 


МОУЗХИ г, г/т Пересылка слова с расширением до двойного слова с дубли- 
рованием знакового бита: 


МОУЗХИ ЕАХ, ИОВР РТВ МЕМ 
Команда появилась в 386-м процессоре 


МОУ2ХВ г, г/т Пересылка байта с его расширением до слова или двойного 
слова с дублированием нулевого бита: 


МОУЗХВ АХ, ВЬ 
МОУЗХВ ЕАХ, руфе рёг пем 


Команда появилась, начиная с 386-го процессора 


МОУ2ХИ г, г/т Пересылка слова с расширением до двойного слова с дубли- 
рованием нулевого бита: 


МОУ2ХИ ЕАХ, ИОВР РТВ МЕМ 
Команда появилась, начиная с 386-го процессора 


ХЬАТ Загрузить в АГ, байт из таблицы в сегменте данных, на начало 
которой указывает ЕВХ (ВХ), при этом начальное значение Ат, 
играет роль смещения 

ЬЕА г, м Загрузка эффективного адреса. Например: 

.ЕА ЕАХ, МЕМ 
ЪЕА ЕАХ, [ЕВХ] 


Данная команда обладает магическими свойствами, позво- 
ляющими эффективно выполнять арифметические действия. 
Например, команда 


ТЕА ВАХ, [ЕАХ*8] 


умножает содержимое ЕАХ на 8, 
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Таблица 1.2 (продолжение) 


Команда Описание 
ТЕА ЕАХ, [ЕАХ] [ЕАХ*4] 


умножает содержимое на 5. Команда 
ТЕА ЕСХ, [ЕАХ] [Е$ЗГ+5] 


эквивалента трем командам 

МОУ ЕСХ, ЕАХ 

АОО ЕСХ, ЕЗТ 

АБР ЕСХ, 5 

Имейте в виду, что команда ТЕА может умножать только на 2, 


4, 8, поэтому в случае другого множителя умножение прихо- 
дится сочетать со сложением 


0$ г,м Загрузить пару 05: гед из памяти. Причем вначале идет слово 
(или двойное слово), ав 2$ — последующее слово 

БЕЗ г, м Аналогично предыдущему, но для пары Е5:гед 

ЪЕЗ г, т Аналогично предыдущему, но для пары Е5:гед 

65 г, т Аналогично предыдущему, но для пары 5: гед 

55 г, м Аналогично предыдущему, но для пары $5:гед 

Набор команд Проверяет условие сс, если выполняется, то первый бит байта 

условной установ- устанавливается в 1, в противном случае — в 0. Условия анало- 

ки первого бита гичны в условных переходах (3е, 3с). Например, ЗЕТЕ АГ. 


байта ЗЕТсс г/т Команда появилась, начиная с 386-го микропроцессора. Ниже 
перечислены все варианты этой команды: 


® ЗЕТА/ЗЕТМВЕ — установить, если выше; 

® ЗЕТАЕ/ЗЕТМВ — установить, если выше или равно; 

® ЗЕТВ/ЗЕТМАЕ — установить, если ниже; 

® ЗЕТВЕ/ЗЕТМА — установить, если ниже; 

® ЗЕТС — установить, если перенос; 

® ЗЕТЕ/ЗЕТА — установить, если ноль; 

® ЗЕТС/ЗЕТМЬЕ — установить, если больше; 

® ЗЕТСЕ/ЗЕТМ.. — установить, если больше или равно; 
® ЗЕТЬ/ЗЕТМСЕ — установить, если меньше; 

® ЗЕТЬЕ/5ЕТМС — установить, если меньше или равно; 
® ЗЕТМС — установить, если нет переноса; 


» ЗЕТМЕ/ЗЕТМ2 — установить, если меньше или равно; 
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Таблица 1.2 (окончание) 


Команда Описание 
® ЗЕТМО — установить, если нет переполнения; 
® ЗЕТМР/ЗЕТРО — установить, если нет паритета; 
® ЗЕТМ5 — установить, если нет знака; 
® ЗЕТО — установить, если есть переполнения; 
® ЗЕТР/ЗЕТРЕ — установить, если есть паритет; 


® ЗЕТЗ — установить, если есть знак 


ГАНЕ Загрузить флаги в Ан (устарела) 

ЗАНЕ Сохранить АН в регистре флагов (устарела) 

Набор команд ® СМОУА/СМОУМВЕ — переслать, если выше; 

условной пере- 

сылки СМОУХ ® СМОУАЕ/СМОУМВ — переслать, если выше или равно; 
ЧезЕ, 5гС 


® СМОУВ/СМОУМАЕ — переслать, если ниже; 

® СМОУВЕ/ СМОУМА — переслать, если ниже; 

® СМОУС — переслать, если перенос; 

® СМОУЕ/СМОУ\У2 — переслать, если ноль; 

® СМО\УС/СМОУМЬЕ — переслать, если больше; 

® СМОУСЕ/ СМОУМТ, — переслать, если больше или равно; 
® СМОУГЬ/СМОУМСЕ — переслать, если меньше; 

® СМОУЬЕ/СМОУМС — переслать, если меньше или равно; 
® СМОУМС — переслать, если нет переноса; 

® СМОУМЕ/СМОУМ2 — переслать, если меньше или равно; 
® СМОУМО — переслать, если нет переполнения; 

® СМОУМР/СМОУРО — переслать, если нет паритета; 

® СМОУМ$ — переслать, если нет знака; 

® СМО\УО — переслать, если есть переполнения; 

® СМОУР/СМОУРЕ — переслать, если есть паритет, 


е СМО\УЗ — переслать, если есть знак 


————ыыы——————————ы—ыы————————————ыыыы——ы—ы———ы—ы———Ш—Ш—ШМЫМ—М—ШМШМШЩШЩШБ—ВыЫЩмШЗ—ЗЫнъььъьъьъьЪьЪьъьъъ 
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Команда 





ТМ АБ (АХ, ЕАХ), рогЕё 
ТМ АЬ(АХ, ЕАХ), ОХ 
ОЧТ рогЕ, АЪ (АХ, ЕАХ) 
ООТ ОХ, АЪ (АХ, ЕАХ) 


Таблица 1.3. Команды ввода/вывода 


Описание 


Ввод в аккумулятор из порта ввода/вывода. Порт адре- 
суется непосредственно или через регистр ох 


Вывод в порт ввода/вывода. Порт адресуется непосред- 
ственно или через регистр ох 


Выводит данные из порта, адресуемого регистром 0х, в 
ячейку памяти Ез: [ЕОТ/ОТ}]. После ввода байта, слова 
или двойного слова производится коррекция ЕОТ/ОТ на 
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[ВЕР] ТМ5В 
[ВЕР] ТМ$5И 
[ВЕР] ТМ5Б 
[ВЕР] ОЧТЗВ 


[ВЕР] ОЧТЗИ 


[ВЕР] ООТ$О 
Команда 
РОЗН г/т 
РОЗН СоП$ЁЕ 
РОЗНА 

РОР г/т 
РОРА 

РОЗНЕ 

РОРЕ 


1, 2 или 4. При наличии префикса ВЕР-процесс про- 
должается, пока содержимое СХ не станет равным 0 


Выводит данные из ячейки памяти, определяемой реги- 
страми 05: [ЕЗТ/5т], в выходной порт, адрес которого 


находится в регистре ох. После вывода байта, слова, 
двойного слова производится коррекция указателя 
ЕЗТ/ЭГ На 1, 2, 4 


Таблица 1.4. Инструкции работы со стеком 


Описание 


Поместить в стек слово или двойное слово. Поскольку при 
включении в стек слова нарушается выравнивание стека по 
границам двойных слов, рекомендуется в любом случае по- 
мещать в стек двойное слово 


Поместить в стек непосредственный 32-битный операнд 


Поместить в стек регистры ЕАХ, ЕВХ, ЕСХ, ЕБХ, ЕЗТ, ЕШТ, ЕВР, 
ЕЗР. Команда появилась, начиная с 386-го процессора 


Извлечь из стека слово или двойное слово 


Извлечь из стека данных в регистры ЕАХ, ЕВХ, ЕСХ, ЕБХ, ЕЗТ, 
ЕОТ, ЕВР, ЕЗР. Команда появилась, начиная с 386-го процес- 
сора 


Поместить регистр флагов в стек 


Извлечь данные в регистр флагов 
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Команда 


АОО ае$Ё, 5гс 


ХАОО аЧе$Е, $гс 


АОС ае$Её, $гс 


ТМС г/т 


ЗОВ ае5$Е, $гс 


ЭЗВВ ае5Ё, $гс 


БЕС г/м 
СМР г/ш, г/т 
СМРХСНС г,мш, а 


СМРХСНС8ВВ г, м, а 


МЕС г/м 


ААЗ 


Глава 1 


Таблица 1.5. Инструкции целочисленной арифметики 


Описание 


Сложение двух операндов. Первый операнд может быть 
регистром или ячейкой памяти, второй — регистром, ячей- 
кой памяти, константой. Операция невозможна, когда оба 
операнда являются ячейками памяти 


Данная операция вначале производит обмен операндами, 
а затем выполняет операцию Арр. Команда введена, начи- 
ная с 486-го процессора 


Сложение с учетом флага переноса — в младший бит до- 
бавляется бит (флаг) переноса 


Инкремент операнда 


Вычитание двух операндов. Остальное аналогично сложе- 
нию (команда АО5) 


Вычитание с учетом бита переноса. Из младшего бита вы- 
читается бит (флаг) переноса 


Декремент операнда 
Вычитание без изменения операндов (сравнение) 


Сравнение с обменом. Воспринимает три операнда 
(регистр — операнд — источник, ячейка памяти — опе- 
ранд — получатель, аккумулятор, т. е. АТ, АХ или ЕАХ). Ес- 
ли значения в операнде-получателе и аккумуляторе равны, 
операнд-получатель заменяется операндом-источником, 
исходное значение операнда-получателя загружается в 
аккумулятор. Появилась, начиная с 486-го процессора 


Сравнение и обмен восьми байтов. Появилась, начиная с 
Репёит. Сравнивается число, находящееся в паре регист- 
ровецх : ЕАХ с восьмибайтным числом в памяти 


Изменение знака операнда 


Коррекция после АЗС!-сложения. Коррекция результата 
двоичного сложения двух неупакованных двоично- 
десятичных чисел. Например, АХ содержит число эн. Пара 
команд Арр АТ, 8/ААА приводит к тому, что в АХ будет 
содержаться 0107, т. е. АЗС!-число 17 


Коррекция после АЗС!-вычитания. Коррекция результата 
двоичного вычитания двух неупакованных двоично- 
десятичных чисел. Например: 


МОУ АХ,205Н ;загрузить АЗСТТ-число 25 
ЗОВ АГ, 8 ; двоичное вычитание 
ААЗ 


В результате АХ содержит код 107Н, т. е. неупакованное 
двоично-десятичное число 17 


——=—=—===———П——,————ддддд——————ААдд————Ш—Ш———Ш—Ш—Ш—ШЩщ———ц—————————— д — 
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Таблица 1.5 (продолжение) 








Команда Описание 

ААМ Коррекция после АЗС!-умножения. Для этой команды 
предполагается, что в регистре АХ находится результат 
двоичного умножения двух десятичных цифр (диапазон от 
О до 81). После выполнения команды образуется двухбайт- 
ное произведение в регистре АХ в АЗС!-формате 

ААО Коррекция перед АЗС!-делением. Предполагается, что 
младшая цифра находится в АТ, а старшая — вАН 

РАА Коррекция после ВСО-сложения” 

рА$ Коррекция после ВСО-вычитания 

МОБ г/м Умножение дт, (АХ, ЕАХ) на целое беззнаковое число. Ре- 
зультат, соответственно, будет содержаться в АХ, ОХ:АХ, 
ЕРХ:ЕАХ 

ТМ г/м Знаковое умножение (аналогично мот). Все операнды счи- 


РТУ г/ш ($гс) 


ТОГУ г/м 
СВИ 


таются знаковыми. Команда тмот, имеет также двухопе- 
рандный и трехоперандный вид. Двухоперандный вид: 


ТМОГ г, 5гс 

} 

Т<-Е*5гС 
Трехоперандный вид: 
ТМОЬ а$Е, эс, им 
и 

9$е<-5гс* Ним 


Беззнаковое деление. Аналогично беззнаковому умноже- 
нию. Осуществляет деление аккумулятора и его расшире- 
ния (АН:АЬ, ОХ:АХ, ЕОХ:ЕАХ) на делитель гс. Частное 
помещается в аккумуляторе, а остаток — в расширении 
аккумулятора 


Знаковое деление. Аналогично беззнаковому 


Расширение байта (АТ) в слово с копированием знакового 
бита 


Расширение слова (АХ) в двойное слово (0х : АХ} с копиро- 
ванием знакового бита 


> Напоминаю, что А$СП-число предполагает одну цифру на один байт, ВСО- 
число — одну цифру на половину байта. Таким образом, в регистре АХ может нахо- 
диться двухразрядное АЗСП-число и четырехразрядное ВСО-число. 


> 
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Таблица 1.5 (окончание) 





Команда Описание 

СИЕ Расширение слова (АХ) в двойное слово (ЕАХ) с копирова- 
нием знакового бита 

сре Преобразование двойного слова (ЕАХ) в учетверенное сло- 
во (ЕШОХ:ЕАХ) 


Таблица 1.6. Логические операции 





Команда Описание 





АМР ае5$Е, гс Логическая операция АМр (И). Обнуление битов дез, ко- 
торые равны нулю у 5гс 











ТЕЗТ ае5Е, $гс Аналогична АМ, но не меняет аез Е. Используется для 
проверки ненулевых битов 

ОВ ае5Е, $гс Логическая операция ОВ (ИЛИ). В аезЕ устанавливаются 
биты, отличные от нуля в 5гс 

ХОВ аезЕ, гс Исключающее ИЛИ 

МОТ ае5Е Переключение всех битов (инверсия) 

Таблица 1.7. Сдвиговые операции 
Команда Описание 
ВСЬ/ВСВ ае5Е, $гс Циклический сдвиг влево/вправо через бит перено- 


са СЕ. эгс может быть либо ст, либо непосредст- 
венным операндом 


ВОЬ/ВОВ ае5Е, гс Данная команда аналогична командам ВСЫ/БСВ, но 
иначе работает с флагом ск. Флаг СЕ не участвует в 
цикле сдвига, но в него попадает бит, перешедший с 
начала на конец или наоборот 


ЗАЬ/ЗАВ ае5Е, эгс Сдвиг влево/право. Называется еще арифметиче- 
ским сдвигом. При сдвиге вправо дублируется 
старший бит. При сдвиге влево младший бит запол- 


и 


няется нулем. "Вытолкнутый" бит помещается в СГ 


ЗНЬ/ЗНВ ае$Е, $гс Логический сдвиг влево/вправо. Сдвиг вправо отЛи- 
чается от АК тем, что и старший бит заполняется 
нулем 
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Таблица 1.7 (окончание) 





Команда 


Описание 





ЗНЬО/ЗНВАО ае$Е, згс, соипЕ Трехоперандные команды сдвига влево/вправо. 


Первым операндом, как обычно, может быть либо 
регистр, либо ячейка памяти, вторым операндом 
должен быть регистр общего назначения, третьим — 
регистр Ст или непосредственно операнд. Суть опе- 
рации заключается в том, что аезЕи $гс вначале 
объединяются, а потом производится сдвиг на коли- 
чество битов соипе. Результат снова помещается в 
ае5Е 





Команда 


ВЕР 


МОУ$5 аезЕ, $гс 


ЬО0$ $гс 


3$Т05 ае5ё 


5САЗ ае$Е 


Таблица 1.8. Строковые операции 


Описание 


Префикс, означающий повтор строковой операции до обнуле- 
ния ЕСХ. Префикс имеет также разновидности ВЕРР7 (ВЕРЕ) — 
выполнять, пока не ноль (7Е=1), ВЕРМ7 (ВЕРМЕ) — выполнять, 
пока ноль 


Команда передает байт, слово или двойное слово из цепочки, 
адресуемой 035: [ЕЗТ], в цепочку аезЕ, адресуемую ЕЗ [Ерт]. 
При этом Ерт и Е 5Т автоматически корректируются согласно 
значению флага ОЕ. Допускается явная спецификация МОУ5вВ 
(Бусе)} — побайтовое копирование, МОУЗИ (мога} — копирова- 
ние словами, МОУ$р (мога) — четырехбайтовое копирование. 
аезви гс можно явно не указывать 


Команда загрузки цепочки в аккумулятор. Имеет разновидно- 
сти ТОрОЗВ, .Ор$И, ЬОр5$. При выполнении команды байт, сло- 
во, двойное слово загружается соответственно в АТ, АХ, ЕАХ. 
При этом ЕЗТ автоматически изменяется на 1 в зависимости от 
значения флага рог. Префикс ВЕР не используется 


Команда, обратная 1.005, т. е. передает байт, слово или двой- 
ное слово из аккумулятора в цепочку и автоматически коррек- 
тирует ЕОТ 


Команда сканирования цепочки. Команда вычитает элемент 
цепочки ае5 Е из содержимого аккумулятора (АТ/АХ/ЕАХ) и 
модифицирует флаги. Префикс ВЕРМЕ позволяет найти в це- 
почке нужный элемент 





Команда 


СМР$ ае5Е, 5гс 


Глава 1 


Таблица 1.8 (окончание) 


Описание 


Команда сравнения цепочек. Данная команда производит вы- 
читание байта, слова или двойного слова цепочки дез из со- 
ответствующего элемента цепочки гс. В зависимости от ре- 
зультата вычитания модифицируются флаги. Регистры ЕРТ 

и ЕЗТ автоматически продвигаются на следующий элемент. 
При использовании префикса ВЕРЕ команда означает — срав- 
нивать, пока не будет достигнут конец цепочки или пока эле- 
менты не будут равны. При использовании префикса ВЕРМЕ 
команда означает — сравнивать, пока не достигнут конец 
цепочки или пока элементы будут равны 





Таблица 1.9. Команды управления флагами 








Команда Описание 
сЬС Сброс флага переноса 
СМС Инверсия флага переноса 
5ТС Установка флага переноса 
Со Сброс флага направления 
ТВ Установка флага направления 
СЬТ Запрет маскируемых аппаратных прерываний 
ТТ Разрешение маскируемых аппаратных прерываний 
СТ$ Сброс флага переключения задач 
Таблица 1.10. Команды передачи управления 
Команда Описание 





МР Еагдееё 


Имеет пять форм, различающихся расстоянием назначения от 
текущего адреса и способом задания целевого адреса. При 
работе в \Мтдо\м$ используется в основном внутрисегментный 
переход (МЕАВ) в пределах 32-битного сегмента. Адрес пере- 
хода может задаваться непосредственно (в программе это 
метка) или косвенно, т. е. содержаться в ячейке памяти или 
регистре (7МР [ЕАХ]). 


Другой тип перехода — короткий переход ($НОВТ), занимает 
всего 2 байта. Диапазон смещения, в пределах которого про- 
исходит переход: —128—127. Использование такого перехода 
весьма ограниченно. 
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Команда 


Условные 
переходы 


Таблица 1.10 (продолжение) 


Описание 


Межсегментный переход может иметь следующий вид: 
УМР ЕМОВО РТВ Г, 


где т, — указатель на структуру, содержащую 48-битный адрес, 
в начале которого 32-Й адрес смещения, затем 16-й селектор 
(сегмента, шлюза вызова, сегмента состояния задачи). Возмо- 
жен также и такой вид межсегментного перехода: 


3МР ЕМОВО ЕЗ: [ЕТ] 


ТА/ ЗМВЕ — перейти, если выше; 

ТАЕ / мВ — перейти, если выше или равно; 
ЗВ/ОМАЕ — перейти, если ниже; 

ЗВЕ/ СМА — перейти, если ниже; 

ус — перейти, если перенос; 

ЗЕ /32 — перейти, если ноль; 

76 /ЛМЬЕ — перейти, если больше; 

УСЕ / мт, — перейти, если больше или равно; 
31. / МЯСЕ — перейти, если меньше; 

ЗЬЕ / мб — перейти, если меньше или равно; 
УМС — перейти, если нет переноса; 

УМЕ/ М2 — перейти, если меньше или равно; 
лмо — перейти, если нет переполнения; 


ЛУР/ СРО — перейти, если нет паритета; 








3м5 — перейти, если нет знака; 

зо — перейти, если есть переполнения; 
УР/ЗРЕ — перейти, если есть паритет; 
35 — перейти, если есть знак; 

3сх2 — переход, если СХ=0; 


ЗЕСХ? — переход, если ЕСХ=0. 


В плоской модели команды условного перехода осуществляют 
переход в пределах 32-битного регистра 





© 


4 








Команда 





Команды управ- 
ления циклом 


САП, Багаее 


ВЕТ [М] 








Команда 





ЕМТЕВ раг1, раг2 


ЪЕАУЕ 


ВОПМО х16, 116 


или 
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Таблица 1.10 (окончание) 


Описание 
Все команды этой группы уменьшают содержимое регистра ЕСХ: 
» ГООР — переход, если содержимое ЕСХ не равно нулю; 


» ТООРЕ (100Р2) — переход, если содержимое ЕСХ не равно 
нулю и флаг 2Е=1; 


® ТООРМЕ (ТООРМ2) — переход, если содержимое ЕСХ не рав- 
но нулю и флаг 2Е=0 


Передает управление процедуре (метке) с сохранением в сте- 
ке адреса, следующей за САТТ/-командой. В плоской модели 
адрес возврата представляет собой 32-битное смещение. 
Межсегментный вызов предполагает сохранение в стеке 
селектора и смещения, т. е. 48-битной величины (16 битов — 
селектор и 32 бита — смещение) 


Возврат из процедуры. Необязательный параметр М предпола- 
гает, что команда также автоматически чистит стек 
(освобождает м№ байтов). Команда имеет разновидности, кото- 
рые выбираются ассемблером автоматически, в зависимости 
от того, является процедура ближней или дальней. Можно, од- 
нако, и явно указать тип возврата (ВЕТМ или ВЕТЕ). В случае 
плоской модели по умолчанию берется ВЕТМ с четырехбайт- 
ным адресом возврата 


Таблица 1.11. Команды поддержки языков высокого уровня 


Описание 


Подготовка стека при входе в процедуру. раг1 показыва- 
ет количество байтов для локальных переменных в про- 
цедуре, раг2 — уровень вложенности в процедуру. При 
раг2=0 вложенность процедур не допускается 
(ситуация в языке С) 


Приведение стека в исходное состояние после выполнения 
команды ЕМТЕВ 


Предполагается, что регистр содержит текущий индекс 
массива, а второй операнд определяет в памяти два слова 
или два двойных слова. Первое считается минимальным 


ВОПМО ВЕСЗ2,МЕМЗ2 значением индекса, а второе — максимальным. Если теку- 





щий индекс оказывается вне границ, то генерируется 
команда ТМТ 5, Используется для контроля нахождения 
индекса в заданных рамках, что является важным средст- 
вом отладки 
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Таблица 1.12. Команды прерываний 





Команда 


Описание 





ТМТ п 


тмтТо 


ТВЕТ 


Команда 


НЬТ 


ГОСК 


МОР 


МАТТ (ЕМАТТ) 


Команда 


Двухбайтная команда. Вначале в стек помещается содержи- 
мое регистра флагов, затем полный адрес возврата. Кроме 
того, сбрасывается флаг тг. После этого осуществляется кос- 
венный переход через п-й элемент дескрипторной таблицы 
прерываний. Однобайтная команда ТМТ 3 называется преры- 
ванием контрольного останова и используется в программах- 
отладчиках 


Равносильна команде тМТ 4, если флажок переполнения 
ОЕ=1, если ОЕ=0 — команда не производит никакого действия 


Команда возврата из прерываний. Извлекает из стека сохра- 
ненные в нем адрес возврата и регистр флажков. Бит уровня 
привилегий будет модифицироваться только в том случае, ес- 
ли текущий уровень привилегий равен 0 


Таблица 1.13. Команды синхронизации процессора 


Описание 


Останавливает процессор. Из такого останова процессор мо- 
жет быть выведен внешним прерыванием 


Представляет собой префикс блокировки шины. Он заставляет 
процессор сформировать сигнал т.0СК# на время выполнения 
находящейся за префиксом команды. Этот сигнал блокирует 
запросы шины другими процессорами в мультипроцессорной 
системе 


Холостая команда. Не производит никаких действий 


Синхронизация с сопроцессором. Большинство команд сопро- 
цессора автоматически вырабатывают эту команду 


Таблица 1.14. Команды обработки цепочки битов 
(появились в 386-м процессоре) 


Описание 





ВЗЕ(В5В) аезЕ, згс — аезЕ- 16-битный или 32-битный регистр. $гс — регистр 


или ячейка памяти. При выполнении команды В$Е операнд 
згс просматривается с младших, а в команде В$В -— со 
старших битов. Номер первого встречного бита, находяще- 
гося в состоянии 1, помещается в регистр аезЕ, флажок 
2Е сбрасывается в 0. Если згс содержит 0, то 2Е=1, а со- 
держимое аез Е не определено 
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Таблица 1.14 (окончание) 

















Команда Описание 
ВТ аезЕ, $гс Тестирование бита с номером из 5гс в аезЕ и перенос его 
во флаг СГ 

ВТС аезё, $гс Проверка и инвертирование бита из 5гсв аезЕ 

ВТВ ае$Е, $гс Проверка и сброс бита из 5гсв аезЕ 

ВТ ае5Е, гс Проверка и установка бита из 5гс в аезЕ 

Таблица 1.15. Команды управления защитой 

Команда Описание 

ЬСОТ эгс Загрузить сотк из памяти. згс указывает на б-байтную вели- 
чину 

ЗСОТ ае5Е Сохранить СОТВ в памяти 

ЬТОТ $гс Загрузить ТОТВ из памяти 

$ТОТ ае5Ё Сохранить ТОТВ в памяти 

ЪЬОТ 5гс Загрузить ьотТВ из памяти (16 битов) 

ЗЬОТ аезё Сохранить т.рТВ в регистре или памяти (16 битов) 

ГМ$5И $гс Загрузка м5" 

$М$М ае5Е Сохранить м5 в регистре или памяти (16 битов) 

ЬТВ 5гС Загрузка регистра задачи из регистра или памяти (16 битов) 

СТК аезЕ Сохранение регистра задачи в регистре или памяти (16 битов) 

ТАВ ае5Е, гс Загрузка старшего байта аезЕ байтом прав доступа дескрип- 
тора гс 

Г аезЕ, гс Загрузка аезЕ пределом сегмента, дескриптор которого задан 
$7С 

АВРЬ г/м, г Выравнивание БР в селекторе до наибольшего числа из те- 


кущего уровня и заданного операндом 


УЕВВ 5е9 Верификация чтения: установка 2Е=1, если задаче позволено 
чтение в сегменте 5ед 


УЕВИ 5е9 Верификация записи: установка 2Ег=1, если задаче позволена 
запись в сегменте 5ед 
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Таблица 1.16. Команды обмена с управляющими регистрами 





Команда 


Описание 





МОУ СВп, $гс 
МОУ аезЕ, СВп 
МОУ ОБп, $гс 
МОУ ае5Е, [Вл 
МОУ ТВп, 5гс 
МОУ аезЕ, ТВп 
ВОТ$С 


Загрузка управляющего регистра СВл 
Чтение управляющего регистра СВл 
Загрузка регистра отладки ОКл 
Чтение регистра отладки ОВл 
Загрузка регистра тестирования ТКл 
Чтение регистра тестирования ТВл 


Чтение счетчика тактов. Значение счетчика тактов помещается 
в пару регистров ЕОХ:ЕАХ 





Таблица 1.17. Команды идентификации и управления архитектурой 





Команда 


Описание 





СРУТО 


ВОМ$В г/м 
ВОРМС 


ИВМ$В г/м 
ЗУЗЕМТЕВ 
ЗУЗЕХТТ 


Получение информации о процессоре. Требует параметр в 
регистре ЕАХ. Если ЕАХ=0, процессор в регистрах ЕВХ, ЕБХ, 
ЕСХ возвращает символьную строку, специфичную для произ- 
водителя. Процессоры АМО возвращают строку 
"АмлеписАМО", процессоры \е! — "Сепитеще!'. Если ЕАХ=1, 
в младшем слове регистра ЕАХ возвращает код идентифика- 
ции. Если ЕАХ=2, в регистрах ЕАХ, ЕВХ, ЕСХ, ЕОХ возвращают- 
ся параметры конфигурации процессора 


Чтение модельно-специфического регистра (МЗВ) в ЕСХ 


Помещает значение одного из двух программируемых счетчи- 
ков событий в пару регистров ЕсХх : ЕАХ. Выбор счетчика осу- 
ществляется по содержимому регистра ЕСХ 


Запись ЕСХ в модельно-специфический регистр 
Системный вызов 


Возврат из системного вызова 





Команда 
ТМУр 
ИВТМУО 


Таблица 1.18. Команды управления кэшированием 


Описание 
Аннулирование данных в первичном кэше без обратной записи 


Обратная запись модифицированных строк и аннулирование 
кэш-памяти 
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Таблица 1.18 (окончание) 


Команда Описание 

ТМУБРС г/м Аннулирование элемента таблицы трансляции тьв (тьв — бу- 
фер ассоциативной трансляции таблиц каталогов и страниц 
памяти) 





1.2.3. Команды математического сопроцессора 


А теперь мы коснемся основных положений работы арифметического со- 
процессора. 


До процессора [ие 80486 сопроцессор поставлялся отдельно, теперь он 
встраивается в процессор, являясь его неотъемлемой частью. 


Функционирование и структура 


Арифметический сопроцессор работает со своим набором команд и своим 
набором регистров. Однако выборку команд сопроцессора осуществляет 
процессор. 


Арифметический сопроцессор выполняет операции со следующими типами 
данных: целое слово (16 битов), короткое целое (32 бита), длинное слово 
(64 бита), упакованное десятичное число (80 битов), короткое вещественное 
число (32 бита), длинное вещественное число (64 бита), расширенное веще- 
ственное число (80 битов). Форматы вещественных чисел были разобраны 
нами в разд. 1.1. Кроме обычных чисел в результате операций сопроцессора 
могут возникнуть также специальные случаи. 


Специальные случаи 

К ним относятся: 

С положительный ноль (все биты нули); 

С отрицательный ноль (знаковый бит равен 1); 


С положительная бесконечность (знаковый бит 0, все биты мантиссы 0, все 
биты экспоненты 1); 


С) отрицательная бесконечность (знаковый бит 1, все биты мантиссы 0, все 
биты экспоненты 1); 


С денормализованное число (все биты экспоненты 0); 


О неопределенное число (знаковый бит 1, все биты экспоненты 1, первый 
бит мантиссы, а для 80-битного числа два бита 1, остальные 0); 
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О нечисловой экземпляр 5МАМ (все биты экспоненты |, первый бит ман- 
тиссы 0, а для 80-битного числа первые два бита 10, а среди остальных 
битов есть 1); 


О нечисловой экземпляр ОМАМ (все биты экспоненты 1, первый бит ман- 
тиссы, а для 80-битного числа два первых равны нулю, среди остальных 
битов мантиссы есть 1); 


[9 неподдерживаемое число (ситуации, не соответствующие стандартным 
числам и не описанные в специальных случаях). 


При выполнении операции сопроцессором процессор ждет завершения этой 
операции. Другими словами, перед каждой командой сопроцессора ассемб- 
лером автоматически генерируется команда, проверяющая, занят сопроцес- 
сор или нет. Если сопроцессор занят, процессор переводится в состояние 
ожидания. Иногда программисту требуется вручную ставить команду ожида- 
ния (мАТТ) после команды сопроцессора. 


Регистры данных 


Сопроцессор имеет восемь 80-битных рабочих регистров, представляющих 
собой стековую кольцевую структуру. Эти регистры еще называют стеком 
сопроцессора. Регистры называются во, в1—в7, но доступ к ним напрямую 
невозможен. Каждый регистр может занимать любое положение в стеке. На- 
звание стековых (относительных) регистров: $т(0), $тТ(1), $Т(2), $Т(3), 
$Т (4), $Т(5), $Т (6), ЗТ (7). 


Кроме того, имеется еше регистр состояния (слово состояния) зи, по флагам 
которого можно, в частности, судить о результате выполненной операции. 
Регистр управления (слово управления) си содержит в себе биты, влияющие 
на выполнение команд сопроцессора. 


Регистр тегов ти содержит 16 битов, описывающих содержание регистров 
сопроцессора — по два бита на каждый рабочий регистр. Тег говорит о со- 
держимом регистра данных. Вот значение тегов: 00 — действительное нену- 
левое число, 01 — истинный ноль, 10 — специальные числа, 11| — отсутст- 
вие данных. 


Кроме указанных регистров сопроцессор имеет также регистры ЕТР И ЕТР. 
Регистр ЕТР содержит адрес последней выполняемой команды, кроме Етм1т, 
ЕСЬЕХ, ЕБОСИ, ЕЗТСИ, ЕЗТ$И, ЕЗТЗМАХ, ЕЗТЕМУ, ЕЬОЕМУ, ЕЗАУЕ, ЕВЗТОВ, ЕМАТТ. 
Регистр ЕБР содержит адрес операнда команды, кроме указанных выше. 


При вычислении с помощью команд сопроцессора большую роль играют 
исключения или особые ситуации. Типичной особой ситуацией является деле- 
ние на 0. Биты особых ситуаций хранятся в регистре состояний. Учет осо- 
бых ситуаций необходим для получения правильных результатов. 
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Список особых ситуаций 

К особым ситуациям относятся следующие: 

С неточный результат (округление); 
недействительная операция; 

деление на ноль; 

антипереполнение (слишком маленький результат); 


переполнение (слишком большой результат); 


Ооооо 


денормализованный операнд. 


Слово состояния ЗИ/ (З4ашз М/ога) 


Слово состояния арифметического сопроцессора отражает его общее со- 
стояние: 


0-й бит, флаг недопустимой операции (тЕ); 


1-й бит, флаг денормализованной операции (50Е); 


4 


2-й бит, флаг деления на ноль (2Е); 

3-й бит, флаг переполнения (0Е); 

4-й бит, флаг антипереполнения (0Е); 

5-й бит, флаг неточного результата (РЕ); 
6-й бит, ошибка стека ($2); 

7-й бит, общий флаг ошибки (Ез$); 

8—10, 14-й, флаги условий (с0, с1, С2, с3); 


1|—13-й, число (0—7), показывающее, какой регистр является вершиной; 


оо, о,о,о о оос[ооо 


15-й бит, флаг занятости, совпадает с $з. 


Слово управления СИ/ (Сотиго! М/ога) 


Слово управления арифметического сопроцессора определяет один из не- 
скольких вариантов обработки численных данных: 


С 0-й бит, маска недействительной операции; 
С 1-й бит, маска денормализованного операнда; 
С 2-й бит, маска деления на ноль; 

С 3-й бит, маска переполнения; 

СО 4-й бит, маска антипереполнения; 


О 5-й бит, маска неточного результата; 
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С 6-Й, 7-й биты, резерв; 

С 8-й, 9-й биты, управление точностью; 

С 10-й, 11-й биты, управление округлением; 
С 12-й, управление бесконечностью; 

СО 13—15-й, резерв. 

Возможные причины исключений: 


О 


ошибка стека; результат — неопределенное число; 

операция с неподдерживаемым числом; результат — неопределенное число; 
операция с $МАМ; результат — ОМАМ; 

сравнение числа с ОМАМ или $МАМ; результат — со = с2 = сз = 1; 


ооо 


Сложение бесконечностей с одним или вычитание с разными знаками, 
результат — неопределенное число, 


О 


умножение нуля на бесконечность; результат — неопределенное число; 


О 


деление бесконечности на бесконечность или 0 на 0; результат — неоп- 
ределенное число; 


О 


команды ‘РВЕМ И ЕРВЕМ1, если делитель равен 0 или делимое равно бес- 
конечности; результат — неопределенное число и с2 = 0; 


О 


тригонометрические операции над бесконечностью; результат — неопре- 
деленное число и с2 = 0; 


О 


корень или логарифм, если аргумент меньше нуля, результат — неопре- 
деленное число, 


О 


ЕВЗТР, если регистр-источник пуст, содержит ОМАМ или $МАМ, беско- 
нечность или превышает 18 десятичных знаков; результат — неопреде- 
ленное число; 


О 


ЕХСН, если один из операндов пуст; результат — неопределенное число. 


Команды сопроцессора 


В табл. 1.19—1.23 дан полный перечень команд арифметического сопроцес- 
сора с пояснением операций, которые они выполняют. 


Таблица 1.19. Команды передачи данных 





Команда Описание 





ЕЬО $гС Загрузить вещественное число в 5Т (0) (вершину стека) из об- 
ласти памяти. При этом $Т (0) ->5т (1). Область памяти может 
быть 32-, 64-, 80-битной. Команда ЕЪр 5Т (0) дублирует вершину 
стека 
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Таблица 1.19 (окончание) 


Команда Описание 

ЕТЬО $гс Загрузить целое число в $Т (0) из памяти. При этом 
$7 (0)->$Т (1). Область памяти может быть 16-, 32-, 64-битной 

ЕВЬО $гс Загрузить ВСО-число в $Т (0) из 80-битной области памяти 

ЕЬО8 Загрузить О в $Т (0) 

ЕТО1 Загрузить 1 в $Т (0) 

ЕЬОРТ Загрузить РТ в $5Т (0) 

ЕБОЬ2тТ Загрузить 10С2 (10) в5Т(0) 

ЕЬОТЬ2Е Загрузить Г.ОС2 (е) в5Т(0) 

ЕЬОТС2 Загрузить гс (2) в$Т(0) 

ЕЬОГМ2 Загрузить М (2) в 5Т (0) 

ЕЗТ аезЕ Записать вещественное число из $Т (0) в память. Область памяти 
может быть 32-, 64- или 80-битной 

ЕЗТР аезЕ Записать вещественное число из $Т (0) в память. Область памяти 
может быть 32-, 64- или 80-битной. При этом происходит выталки- 
вание вершины из стека 

ЕВЗТ аезЕ Записать ВСО-число в память. Область памяти — 80-битная 

ЕВЗТР ае$Е Записать ВСО-число в память. Область памяти — 80-битная. 
При этом происходит выталкивание вершины из стека 

ЕХСН $Т(1) Выполнить обмен значениями вершины стека и регистра 1. 
Если операнд не указан, то обмениваются $5Т (0) и $Т (1) 

ЕСМОУс Команда условной пересылки данных. Копирование $Т (1) (5гс) 

аезЕ, 5гс в 5т(0) (4езЕ). Команда может иметь следующий вид: 


® ЕСМОУЕ — копировать, если равно (2Е=1); 

® ГСМОУМЕ — копировать, если не равно (2Е=0): 

® ЕСМОУВ — копировать, если меньше (СЕ=1); 

» ГСМОУВЕ — копировать, если меньше или равно (СЕ=1 и 2Е=1); 
» ЕСМОУМВ — копировать, если меньше (СЕ=0); 

® ЕСМОУМВЕ — копировать, если меньше или равно (СЕ=0 и 2Е=1); 
® ЕСМОУО — копировать, если не сравнимы (РЕ=1); 


» ЕСМОУМО — копировать, если сравнимы (РЕ=0} 


— =. ———,——,,————д—д—дд—до——————А—додо—о—о—————ыыыыыы——3д3———ы—ы—ШЩнБнж——_——цц——————— 
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Таблица 1.20. Команды сравнения данных 





Команда Описание 





ЕСОМ Сравнение вещественных чисел $Т (0) и 5Т (1). Флаги устанав- 
ливаются, как при операции вычитания 5Т (0) -$Т (1). 


В этой команде и далее (до команды ЕСОМТ) команды следую- 
щим образом влияют на флаги Со, С2, СЗ: 


® 5Т(0) > экс С0=0, С2=0, СЗ=0; 
® 5Т(0) <5зкс СО=1, С2=0, СЗ=0: 


® 5Т(0) = кс С0=0, С2=0, СЗ=1. 
Если операнды несравнимы, то С0=С2=С3=1 


ЕСОМ $гс Сравнение $Т (0) с операндом в памяти. Операнд может быть 32- 
или 64-битным 


ЕСОМР 5гс Сравнение вещественного числа в $Т (0) с операндом с выталки- 
ванием $Т (0) из стека. Операнд может быть регистром и обла- 
стью памяти 


ЕСОМРР Сравнение $Т (0) и $Т (1) с двойным выталкиванием из стека 


ЕТСОМ $гс Сравнение целых чисел в $Т (0) с операндом. Операнд может 
быть 16- или 32-битным 


ЕТСОМР $гс Сравнение целых чисел в $Т (0) с операндом. Операнд может 
быть 16- или 32-битной областью памяти или регистром. При вы- 
полнении операции происходит выталкивание $7 (0) из стека 


ЕТ5Т Проверка $т (0) на ноль 
РОСОМ ЭТ (1) Сравнение $Т (0) с ЗТ (1) без учета порядков 


РОСОМР $Т(1) Сравнение $Т (0) с5$Т(1) без учета порядков. При выполнении 
операции происходит выталкивание из стека 


РОСОМРР Сравнение $Т (0) с 5Т(1) без учета порядков. При выполнении 
5Т (1) операции происходит двойное выталкивание из стека 
ЕСОМТ $гс Сравнить и установить флаги. 


Команда ЕСОМТ и следующие за ней команды ЕСОМТР, ГОСОМТ, 
ЕОСОМТР воздействуют на биты регистра флагов следующим об- 
разом: 


® 3Т(0) > зкс 2Е=0, РЕ=0, СЕ=О; 


е 3Т (0) <5з:кс 2Е=О, РЕ=0, СЕ=1; 


® 5Т(0) Е зкс 2Е=1, РЕ=О, СЕ=0. 


Если операнды несравнимы, то все три флага равны 1 
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Таблица 1.20 (окончание) 


Команда Описание 
РСОМТР $гс Сравнить, установить биты и вытолкнуть 
РОСОМТ гс Сравнить без учета порядков и установить флаги 


РОСОМТР $гС Сравнить без учета порядков, установить флаги и вытолкнуть 


ЕХАМ Анализ содержимого вершины стека. Результат помещается в 
биты СЗ, С2, СО следующим образом: 


® 000 — неподдерживаемый формат; 
® 001 — не число; 

® 010 — нормализованное число; 

® 011 — бесконечность; 

е 100 — ноль: 

® 101 — пустой операнд; 


® 110 — денормализованное число 


Таблица 1.21. Арифметические команды 


Команда Описание 
КАРО $гс Сложение вещественных чисел: 
РАОР $Т(1),5Т 5Т (0) <-$Т (0) +5гс 


ГДе гс — 32- или 64-битное число 
$Т (1) <-$Т (1) +57 (0) 

ГАБОР $Т(1),5Т Сложение вещественных чисел: 
$Т (1) <-5Т (1) +5Т (0) 


При выполнении операции происходит выталкивание из 
стека 


ЕТАОР $гС Сложение целых чисел: 

УТ (0) <-5Т (0) +5ге 

ГДе эгс — 16- или 32-битное число 
ЕЗОВ $5гС Вычитание вещественных чисел: 
ЕЗОВ $Т(1),5Тт УТ (0) <-5Т(0)-5гс 

ГДе 5гс -— 32- или 64-битное число 

УТ (1) <-$Т(1)-5$Т (0) 
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Команда 


ЕЗОВР $5Т(1),5Т 


ЕЗОВВК 5Т(1),5Т 


ЕЗОВВР 5Т(1),5Т 


ЕТЗОВ $5гс 


ЕТЗОВЕ $гс 


ЕМОЬ 
ЕМОЬ 5Т(1) 


ЕМОГ 5Т(1),5Т 


ЕМОЬР $Т(1),5Т(0) 


ЕТМОЬ $гс 
РОТУ 
РОТУ 9Т(1) 


ЕРТУ $Т(1),5Т 


ЕОТУР 5Т(1),5Т 


Таблица 1.21 (продолжение) 


Описание 

Вычитание вещественных чисел: 

5Т (1) <-5Т (1) -95Т (0) 

При выполнении операции происходит выталкивание стека 
Обратное вычитание вещественных чисел: 

5Т (0) <-$Т(1)-5Т (0) 

Обратное вычитание вещественных чисел: 
$Т(0)<-5Т(1)-9Т (0) 


При выполнении операции происходит выталкивание из 
стека 


Вычитание целых чисел: 

ЭТ (0) <-$Т(0)-5гс 

ГДе 5гс — 16- или 32-битное число 
Вычитание целых чисел: 

ЭТ (0) <-5Т (0) -$гс 


Где 5гс — 16- или 32-битное число. При выполнении опе- 
рации происходит выталкивание из стека 


Умножение двух операндов. 

В первом случае 5Т (0) <-5Т (0) *5Т (1). 
Во втором случае $Т (0) <-5$Т (1) *5Т(0). 
В третьем случае 5Т (1) <-5Т (1) *5Т(0) 
Умножение и выталкивание из стека: 
$Т(1) <-5Т (1) *5Т (0) 

Умножение $Т (0) на целое число: 

$Т (0) <-5Т (0) *5гс 

Операнд может быть 16- и 32-битным числом 
Деление 5Т (0): 

5$Т (0) <-$Т (0) /5Т (1) 

$Т (0)<-5Т (0) /5Т (1) 

ЗТ (1)<-5Т (0) /ЗТ (1) 

Деление с выталкиванием из стека: 


УТ (1) <-5Т(0)/$Т(1) 
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Таблица 1.21 (окончание) 
Команда Описание 
ЕТР1\У $5гСс Деление целых чисел: 


ЕОТУВ $5Т(1),5Т 


ЕКОТУВР $Т{1),5Т 


ЕТОТУВ $гс 


Е5ОВТ 
ЕЗСАЬЕ 


ЕХТВАСТ 


ЕРВЕМ 


ЕРВЕМ1 
ЕВМОТМТ 


ЕАВ5 


ЕСН 


Команда 


ЕСО$ 


УТ (0) <-$Т (1) /5гс 

Делитель может быть 16- и 32-битным числом 
Обратное деление вещественных чисел: 

$Т (0) <-5Т (1) /$Т (0) 


Обратное деление вещественных чисел и выталкивание 
из стека: 


$Т(0) <-5Т (1) /5Т (0) 

Обратное деление целых чисел: 

$Т (0) <-5гс/5Т (0) 

Извлечь корень из 5Т (0) и поместить обратно 
Масштабирование: 

$Т (0) <-5Т (0} *2^$Т (1) 


Выделение мантиссы и порядка из числа 5Т (0). В $7 (0) 
помещается порядок, в $Т (1) — мантисса 


Нахождение остатка от деления: 
УТ (0) <-5Т (0) МОБЯТ (1) 
Нахождение остатка от деления в стандарте 1ЕЕЕб 


Округление до ближайшего целого числа, находящегося 
В 5Т(0): 


УТ (0) <-11% ($Т(0)) 
Нахождение абсолютного значения: 
ЭТ (0) <-АВ$ (5Т(0)) 


Изменение знака: $Т (0) <- -5$Т (0) 


Таблица 1.22. Трансцендентные функции 


Описание 


Вычисление косинуса: 
$7 (0) <-С0$ (5Т(0)) 


Содержимое в $Т (0) интерпретируется как угол в радианах 


6 [пзиище оГ Еесилса! апа Еесготс$ Епетеег$, Институт инженеров по электротех- 


нике и электронике. 
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Таблица 1.22 (окончание) 


Команда Описание 


ЕРТАМ Частичный тангенс. Содержимое в 5Т (0) интерпретируется 
как угол в радианах. Значение тангенса возвращается на ме- 
сто аргумента, а затем в стек включается 1 


ЕРАТАМ Вычисление арктангенса. Вычисляется функция 
Агсса (5Т (1) /5Т(0)) 


После вычисления происходит выталкивание из стека, в итоге 
результат оказывается в вершине стека 


ЕЗТМ Вычисление синуса: 

5Т (0) <-51М (57 (0}) 

Содержимое в $Т (0) интерпретируется как угол в радианах 
ЕЗТМСО$ Вычисление синуса и косинуса: 

5Т (0) <-51М (57 (0) ) 

5Т (1) <-С0$ (5Т(0)) 
Е2ХМ1 Вычисление 2* - 1: 

$Т (0) <-2^59Т (0) -1 


кУЬ2Х Вычисление ух Ю92х: 
5Т (0) =У 
97 (1)=Х 


Происходит выталкивание из стека, и только потом в вершину 
стека помещается результат вычисления 


ЕУТ2ХР1 Вычисление ух |юд2(х + 1): 
$Т (0) =У 
УТ (1}=Х 


Происходит выталкивание из стека, и только потом в вершину 
стека помещается результат вычисления 





Таблица 1.23. Команды управления сопроцессором 








Команда Описание 

ЕТМТТ Инициализация сопроцессора 

ЕМТМТТ Инициализация сопроцессора без ожидания 
ЕЗТЗИ АХ Запись слова состояния в АХ ($И->АХ) 


ЕЗТ5И ае5Е Запись слова состояния в аезЕ (16 битов) 
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Таблица 1.23 (окончание) 





Команда 





ЕМЗТЗИ ае5Е 
ЕСИ $гс 
ЕЗТСИ Че5Е 
ЕСЬЕХ 
ЕМСЬЕХ 


ЕСТЕМУ аезЕ 


ЕМЗТЕМУ ае5Е 


ЕЬОЕМУ $гс 
ЕЗАУЕ ае$Е 


ГМЗАУЕ Че5Е 


ЕВСТОВ $5гс 
ЕТМС$ТР 
ЕОЕСЗТР 
КРЕВЕЕ 5$Т (1) 
ЕМОР 


ИАТТ (ЕИАТТ) 





Описание 


Сохранить слово состояния без ожидания в аезЕ (16 бит) 
Загрузка управляющего слова (16 битов) из аезЕ 
Сохранение управляющего слова в аезЕ 

Сброс исключений 

Сброс исключений без ожидания 


Сохранение состояния сопроцессора (5и, Си, ТАСМ, ЕТР, ЕОР) 
в памяти 


Сохранение состояния сопроцессора ($1, СМ, ТАСИ, ЕТР, ЕОР) 
в памяти без ожидания 


Загрузка состояния сопроцессора из памяти 
Сохранение состояния сопроцессора и файла регистров в памяти 


Сохранение состояния сопроцессора и файла регистров в па- 
мяти без ожидания 


Загрузка состояния сопроцессора и файла регистров в память 
Инкремент указателя стека 

Декремент указателя стека 

Освобождение регистра — пометка $Т (1) как свободного 
Холостая операция сопроцессора 


Ожидание процессором завершения текущей операции сопро- 
цессора 


1.2.4. Расширение ММХ 
Архитектура ММХ 


Расширение ММХ в основном ориентировано на использование в мульти- 
медийных приложениях. Главная идея ММХ заключается в одновременной 
обработке нескольких элементов данных за одну инструкцию. Расширение 
ММХ появилось в процессорах модификации Репиит Р54С и присутствует 
во всех последних модификациях этого процессора. 


Расширение ММХ использует новые типы упакованных данных: упакован- 
ные байты (восемь байтов), упакованные слова (четыре слова), упакованные 
двойные слова (два двойных слова), учетверенное слово. Как видим, все это 
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64-битные числа. Расширение ММХ включает восемь регистров общего 
пользования (обозначения ммо—мм7). Размер регистров составляет 64 бита. 
Физически эти регистры пользуются младшими битами рабочих регистров 
сопроцессора (в0о—в7). Команды ММХ "портят" регистр состояния и ре- 
гистр тегов. По этой причине совместное использование команд ММХ и 
команд сопроцессора может вызвать определенные трудности. Другими сло- 
вами, перед каждым применением команд ММХ вам придется сохранять 
контекст сопроцессора, а это может весьма замедлить работу программы. 
Важно отметить также, что команды ММХ работают непосредственно с ре- 
гистрами сопроцессора, а не с указателями на элементы стека. 


Инструкции ММХ 


В табл. 1.24 представлены команды расширения ММХ. 


Таблица 1.24. Команды расширения ММХ 





Команда Описание 

ЕММ5 Очистка стека регистров. Установка всех единиц в 
слове тегов 

МОУР пт, т32/1г32 Пересылка данных в младшие 32 бита регистра ММХ 
с заполнением старших битов нулями 

МОУР ш32/1г32, шт Пересылка данных из младших 32 битов регистра 
ММхХ 

МОУО тт, тп/ тб 4 Пересылка данных в регистр ММХ 

МОУО пт/тб4, мт Пересылка данных из регистра ММХ 

РАСК$$РИ шт, тт/ тб 4 Упаковка со знаковым насыщением двух двойных 


слов, расположенных в тм, и двух двойных слов 

пт/ тб4 в четыре слова, расположенных в ли. Други- 
ми словами, команда копирует два двойных слова из 
тп в два младших слова тл и два двойных слова из 
пт /тб4 в два старших слова. При этом если значение 
какого-либо двойного слова окажется больше 32 767 
или меньше -32 768, то в слова запишутся 32 767 и 
—32 768 соответственно 


РАСК5$5ИВ пи, пиа/ т64 Упаковка со знаковым насыщением четырех слов, 
расположенных в тт, и четырех слов мт/тб4 в восемь 
байтов, расположенных в им. Другими словами, че- 
тыре слова из лиг преобразуются в четыре младших 
байта лип, а четыре слова из ли/тб4 — в четыре стар- 
ших байта. При этом если значение какого-либо сло- 
ва окажется больше 127 или меньше -128, то в байты 
помещаются соответственно числа 127 и-—128 
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Таблица 1.24 (продолжение) 





Команда Описание 





РАСКОЗИВ ши, пт/тб4 Упаковка с насыщением четырех знаковых слов, рас- 
положенных в ли, и четырех слов пт/тб4 в восемь 
беззнаковых байтов, расположенных в мм. Другими 
словами, четыре слова из тт преобразуются в четыре 
младших байта тт, а четыре слова из пи/пб4 — в че- 
тыре старших байта. При этом если значение какого- 
либо слова окажется больше 255 или меньше 0, то в 
байты помещаются соответственно числа 255 и 0 


РАБОВ шт, пп/тб4 Сложение упакованных байтов (слов или двойных 

слов) без насыщения (с циклическим переполнени- 

ем). Если при сложении возникает перенос, то он не 

РАБРОЬ шт, ит/пб64 влияет ни на следующие элементы, ни на флаг пере- 
носа, т. е. просто игнорируется 


РАББИ тт, пт/тб4 


РАРОЗВ шт, тт/тб4 Сложение упакованных байтов (слов) со знаковым 
РАБОЗ$И п, тт/шб4 насыщением 

РАБРОЗВ мт, шт/тб4 Сложение упакованных байтов (слов) с беззнаковым 
РАРРОЗИ пи, ит/шб4 насыщением 

РАМР шт, пт/тб4 Логическое "И" 

РАМОМ тт, тт/тб4 Логическое "И-НЕ" 

РСМРЕОВ пт, пт/т64 Сравнение на равенство упакованных байтов (слов, 


двойных слов). Все биты элемента результата будут 


РСМРЕООВ шт, шт/тб64 
единичными (+ гие) при совпадении соответствующих 


РСМРЕОИ мт, тт/ тб4 элементов операндов и нулевыми (Еа1зе) — при не- 
совпадении 
РСМРСТВ шт, тт/тб4 Сравнение по величине упакованных знаковых байтов 


(слов, двойных слов). Все биты элемента результата 


РСМРСТР мт, шт/ 64 будут единичными (гие), если соответствующий 


РСМРСТИ шт, пт/тб4 элемент операнда назначения больше элемента опе- 
ранда источника, и нулевыми (Еа15е) в противном 
случае 

РМАРРИР пм, а/п б 4 Умножение четырех знаковых слов операнда источни- 


ка на четыре знаковых слова операнда назначения. 
Два двойных слова результатов умножения младших 
слов суммируются и записываются в младшее двой- 
ное слово операнда назначения. Два двойных слова 
результатов умножения старших слов суммируются и 
записываются в старшее двойное слово операнда 
назначения 


РМОТНИ тт, ии/ т64 Умножение упакованных знаковых слов с сохранени- 
ем только старших 16 битов элементов результата 
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Таблица 1.24 (продолжение) 


Команда Описание 

РМОБЬИ пт, пип/ тб 4 Умножение упакованных знаковых или беззнаковых 
слов с сохранением только младших 16 битов резуль- 
тата 

РОВ шт, тт/тб4 Логическое "ИЛИ" 

РУНТМР шт, тт РУНТМЬО представляет инструкции РЗТТО, РЗВАР И 


РЗНТМО шп, ит РЗВЬО С непосредственным операндом-счетчиком 


НЕМА Им, ии Р5НТМИ представляет инструкции Р5ЬЬИ, Р5ВАИ, 
РЗВЬИ. 


Р5НТМО представляет инструкции Р$Т.Т.О и РЗВТО с 
непосредственным операндом-счетчиком 


РЗЬТО тт, ии/ тб 4 Логический сдвиг влево упакованных слов (двойных, 
учетверенных) операнда назначения на количество 
битов, указанных в операнде-источнике, с заполнени- 
РЗЬГМ шт, тт/тб4 ем младших битов нулями 


РЗШТО шт, тт/ тб 4 


РЗВАР шт, пт/т64 Арифметический сдвиг вправо упакованных двойных 
(учетверенных) знаковых слов операнда назначения 
на количество битов, указанных в операнде- 
источнике, с заполнением младших битов битами 
знаковых разрядов 


РЗВАМ тт, тп/ тб 4 


РЗВЬО ти, пт/тб4 Логический сдвиг вправо упакованных слов (двойных, 
учетверенных) операнда назначения на количество 


РЗВЬО шт, тт/тб4 
битов, указанных в операнде-источнике, с заполнени- 


РУВЬМ шт, пт/тб4 ем старших битов нулями 
РЗОВВ ли, шт/ тб 4 Вычитание упакованных байтов (слов или двойных 
ез насыщения (с циклическим антипереполне- 
РЗОВМ пи, шт/тб4 слов) 6 ыщения (с ц Р 
нием) 
РЗОВЬ шт, тт/тб4 
РЗОВЗВ шт, тт/т64 Вычитание упакованных знаковых байтов (слов) с на- 


сыщением. Если при вычитании разность выходит за 
пределы байта (слова), то в качестве результата ис- 
пользуется минимальное число 


РЗОВ$М шт, тт/тб4 


РЗОВОЗ$В пи, шт/тб4 Вычитание упакованных беззнаковых байтов (слов) с 
насыщением. Если при вычитании разность выходит 
за пределы результата, то в качестве результата ис- 
пользуется минимальное число (0) 


РЗОВО$И шт, тт/тб4 


РОМРСКНВИ пт, ти/ 64 Чередование в регистре назначения байтов старшей 
половины операнда-источника с байтами старшей 
половины операнда назначения 
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Таблица 1.24 (окончание) 





Команда 


Описание 





РОМРСКНИР тт, пт/ тб 4 


РОМРСКНОО шт, шт/тб4 


РОМРСКЬВИ пп, тт/тб4 


РОМРСКЬМЬ шт, пт/тб4 


РОМРСКЬОО шт, шт/тб4 


РХОВ шт, шт/тб4 


Чередование в регистре назначения слов старшей 
половины операнда-источника со словами старшей 
половины операнда назначения 


Чередование в регистре назначения двойного слова 
старшей половины операнда-источника с двойным 
словом старшей половины операнда назначения 


Чередование в регистре назначения байтов младшей 
половины операнда-источника с байтами младшей 
половины операнда назначения 


Чередование в регистре назначения слов младшей 
половины операнда-источника со словами младшей 
половины операнда назначения 


Чередование в регистре назначения двойного слова 
младшей половины операнда-источника с двойным 
словом младшей половины операнда назначения 


Исключающее "ИЛИ" 


Новые инструкции ММХ 


Перечисленные инструкции группы ММХ с появлением Репйип1 4 получили 
доступ к 128-битным регистрам (хим). В табл. 1.25 перечислены новые 
ММХ-инструкции. В командах табл. 1.25 первым идет операнд-получатель 
(Чезк), вторым — источник (згс). 


Команда 
РАРОО хит, хит/т128 
РЗОВО хтт, хшт/т128 


РМОГОРО хшт, хтт/ т128 


РЗЬГОО хшш, ттт 


РЭВЬОО хшт, Тит 


Таблица 1.25. Новые команды ММХ 


Описание 


Сложение двух 128-битных операндов 
Вычитание 128-битных операндов 


Умножение 64-битных операндов, результат не 
должен превышать 128-битный размер 


Логический сдвиг содержимого влево на 1пп*8 битов 


Логический сдвиг содержимого вправо на 1п*8 битов 


РУНОЕНИ хшт, хит/ т128,1тт Пересылка (из хли/т128 — згсв хит — аезЁ) с 


перегруппировкой четырех 16-битных слов из 
младшей половины дез в младшую половину 
згс. Перегруппировка задается содержимым кон- 
станты 1 тт 
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Команда 


РЗНОЕЬМ хшт, хши/ п128, ттт 


РЗНОЕО хшш, хшт/ т128, 1тт 


РОМРСКНОРО хшт, хшт/п128 


РОМРСКЬОРО хтт, хтт/ 128 


МОУОО20 ши, хтт 


МОУ2000 хтт, шт 


МОУМТОО п128, хтт 


МОУРОА хтт, хтш/т128 
МОУРОА хлш/т128, хтт 
МОУРОЙ хшт, хлм/т128 
МОУОРОО хтт/т128, хтт 


МОУМ$КРО г32, хтт 


МАЗКМОУОВОО хшт, хтт 
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Таблица 1.25 (окончание) 


Описание 


Пересылка (из хил/т128 — $гс в хи — аеэЕ) 
с перегруппировкой четырех 16-битных слов из 
старшей половины ае Е в старшую половину 
эгс. Перегруппировка задается содержимым 
константы 1лип 


Пересылка (из хли/п128 — гс В хп — аезЕ) 

с перегруппировкой четырех 32-битных слов из 
аезёв 5гс. Перегруппировка задается содер- 
жимым константы 1тт 


В аезЕ (хтт) записывается содержимое старших 
ПОЛОВИН згс (хии/т128) и аезЕ 


В аезЕ (хмп) записывается содержимое млад- 
ших половин гс (хил/т128) и аезЕ 


Младшая половина хм копируется в пт 


Содержимое регистра пи копируется в младшую 
половину хит 


Пересылка (из хим - зхсвш128 - аез\) со- 
держимого 128-битного регистра в память без 
кэширования. Адрес должен быть кратен 16 


Команды пересылки 128-битного кода. Данные в 
памяти должны иметь адрес, кратный 16 


Команды пересылки 128-битного кода. Данные 
в памяти могут не иметь 16-битного выравни- 
вания 


Копирует содержимое знаковых разрядов (63 и 
127) в биты 0 и 1 регистра х32. Остальные биты 
регистра очищаются 


Пересылка по маске. Первый операнд хтл (5гс) 
содержит пересылаемый код, второй операнд 
хти (4езЕ) — маску пересылки. Адрес третьего 
(куда будет производиться пересылка) операнда 
должен находиться в 05: от или в 05: ЕТ. Для 
каждого из 16-ти байтов выполняется следую- 
щее: если знаковый разряд 1-го байта маски 
установлен, то аезЕ[1]=5гс[ 1]; если знаковый 
разряд байта маски очищен, то содержимое 
аезЕ не изменяется 
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1.3. Особенности программирования 
в операционной системе \\/та4о\м$ 


Сейчас мы намерены дать краткое введение в программирование в среде 
УМпдо\5. Это нельзя назвать курсом, Поскольку для этого потребовалась бы 
целая книга. Я просто хочу напомнить читателям основные принципы про- 
граммирования под \УМш4о\$, которые, я надеюсь, пригодятся в дальнейшем 
при анализе исполняемых модулей. 


1.3.1. Общие положения 


Программирование в \У/т4о\5 основывается на использовании функций 
АР/. АРТ (АррИсаНноп Ргоргат Пе асе) — это программный интерфейс при- 
ложения. С помощью АР]!-функций приложение может взаимодействовать 
непосредственно с операционной системой У! т9до\5. Приложение, постро- 
енное на таком взаимодействии, более тесно интегрировано в операцион- 
ную систему, а значит, обладает большими, по сравнению с другими про- 
граммами, возможностями. Иногда АР]!-функции называют системными 
вызовами. Но это не совсем точно. Дело в том, что системный вызов, как, 
например, в МХ, — это вызов системной процедуры, хранящейся в ядре. 
Операционная система предоставляет ряд таких процедур для того, чтобы 
облегчить прикладной программе управление ресурсами. Функции АРГ— 
это интерфейс между системными процедурами и прикладной программой, 
дополнительный слой. При вызове функции АРГ вы не знаете, будет ли она 
выполняться полностью за счет кода загруженной в ваше адресное про- 
странство динамической библиотеки или все-таки использует какие-то про- 
цедуры, хранимые в ядре. Операционная система УМп4ао\5 меняется, появ- 
ляются новые версии, а интерфейс АРТ остается тем же, в него могут 
добавляться лишь новые функции. Этим достигается полная совместимость 
программ, написанных с использованием базового набора функций АР. 


Подключение АР!-функций осуществляется посредством динамических биб- 
лиотек, хранящихся в системном каталоге (\Мтао\5\5убет32). Подключение 
этих библиотек обеспечивает компилятор (позднее неявное связывание). 
Полное количество всевозможных АР!-функций огромно и превосходит 
3000. Чаше всего употребляются АР1-функции, расположенные в следующих 
четырех динамических библиотеках: 


С Кегле!32.4Й — здесь содержатся функции управления (памятью, приложе- 
ниями, ресурсами, файлами ит. д.); 


С чзег32.аЙ — содержит всевозможные функции программного интерфейса 
пользователя (обработка оконных сообщений, таймеры, меню ит. д.); 
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О 59132.41 — библиотека интерфейса графического устройства (ОгарНс Ое- 
\мсе Мгагу), содержит большое количество функций оконной графики; 


О сотсИ32.4П — данная библиотека содержит функции обслуживания раз- 
личных управляющих элементов. В частности, именно эта библиотека 
отвечает за новый стиль управляющих элементов (стиль Упао\мз ХР). 


Если у функции АРГ один из входных параметров — указатель на строку, то 
такая функция имеет две версии: с префиксом А для строк в кодировке 
АМЗУГ и с префиксом У! для строк в кодировке Отсоде. Например, имеют- 
ся две версии для функции АР1 МеззадеВох: МеззадевВохА И МеззадеВохи. 
В случае языков высокого уровня, например, языка С++, мы изначально 
определяем, с какой строкой или строками мы работаем, поэтому компиля- 
тор автоматически выбирает соответствующую версию функции. При напи- 
сании программы на языке ассемблера мы явно указываем, какую версию 
функции используем. 


Рассмотрим два типа приложений, используемых для прикладного програм- 
мирования, — консольные приложения и приложения СИГ. Особенностью кон- 
сольного приложения является то, что при его выполнении система создает 
для него (или приложение наследует от порождающего его процесса) тек- 
стовое (консольное) окно или просто консоль. СУТ (Старые ег 
Пиеасе) — это графический интерфейс пользователя. Приложения, постро- 
енные по данной схеме, работают с графическими окнами, которые могут 
содержать графические изображения, а также различные элементы управле- 
ния (кнопки, поля ввода, списки и т. д.). Приложения СУ] мы будем назы- 
вать также графическими или оконными приложениями. 


В \УМпао\$ могут выполняться и другие типы приложений — это службы 
(зегусе5) и драйверы. Их правильнее было бы называть системными типами 
приложений. Кроме этого, в \Мш4о\$ можно исполнять приложения в под- 
системах РОЗ[Х7 и 05/2, но с весьма ограниченными возможностями. Эти 
типы приложений не будут являться предметом изучения данной книги. 


Довольно часто для написания используют библиотечные функции (С, 
С++) или библиотечные классы (в Оер их называют компонентами). То- 
гда взаимодействие с операционной системой оказывается скрытым слоем 
библиотек. В результате анализ исполняемого кода усложняется, т. к. надо 
либо распознать, какая известная библиотечная функция или класс исполь- 
зуется, либо путем анализа библиотечного кода выяснить, к каким функци- 
ям АР[ происходит обращение, и попытаться понять цель этих обращений. 
Обе задачи не просты. Цель данного раздела — объяснить общую структуру 
программы для У/ш4о\5$, чтобы вы могли понять подходы в решении второй 
задачи. 


7 РоцаМе Орегайпе Зубет Пиегасе — переносимый интерфейс операционной сис- 
темы. 


56 Глава 1 





По сути, все различие консольного и графического приложений для опе- 
рационной системы заключается во флаге зоъзузекет, который хранится 
в заголовке рЕ (см. разд. 1.6). Флаг же устанавливается при компоновке 
приложения. Для редактора связей ШММК.ЕХЕ указывается ключ 
/ЗОВЗУЗТЕМ:\ПМРО\$ — для графического приложения и ключ 
/5УВЗУЗТЕМ:СОМ$ЗОГЕ — для консольного приложения. Соответственно в 
случае языка высокого уровня у компилятора должны быть опции, позво- 
ляющие создавать консольные или графические приложения. При этом и 
консольные, и графические приложения абсолютно равны в праве доступа к 
ресурсам операционной системы. Любое консольное приложение может 
создавать графические окна и работать с ними, в свою очередь графическое 
приложение способно работать и с текстовым консольным окном. 


1.3.2. Консольные приложения 


Консольные приложения очень компактны не только в откомпилированном 
виде, но и в текстовом варианте. Несколько слов следует сказать и о самой 
консоли. Как вы, наверное, уже знаете, консоль — это текстовое окно. 
Взаимоотношение консольной программы с таким окном сводится к сле- 
дующему: 


О если консольная программа запушена другой консольной программой, то 
дочерняя программа по умолчанию будет наследовать консоль родитель- 
ской; 


О если родительская программа не имеет консоли, то система создает для 
вновь запускаемой программы собственную консоль; 


С консольная программа может создать и свою консоль с помощью АР]- 
функции А11осСопзо1е, если предварительно освободится от уже имею- 
щейся у нее консоли; 


С консольная программа может иметь только одну консоль (см. предыду- 
щий пункт). 


Одной из причин, по которой консоль появилась в изначально графически 
ориентированной операционной системе УИп4о\з, являлась необходимость 
выполнения в ней программ, написанных для операционной системы М5- 
20$, которая, как известно, была ориентирована на работу с текстовым эк- 
раном. При запуске такой программы операционная система \Мт4о\з авто- 
матически выделяет для нее консоль и автоматически же перенаправляет 
весь ввод/вывод туда. 


Классическую структуру консольного приложения можно назвать пакетной. 
Программа состоит из последовательности выполняемых действий. Напри- 
мер, программа открывает некоторый файл, делает что-то, закрывает его и 
заканчивает свою работу. 
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В листинге 1.2 представлена типичная консольная программа$, которая вы- 
водит на текстовый экран строку. Особенностью данной программы являет- 
ся то, что она создает свою консоль в независимости от того, запущена она 
сама из консоли или другим способом. Последовательность вызовов функ- 
ЦИЙ ЕгееСопзо1е () /А11осСопзо1е () освобождает имеющуюся у программы 
консоль и создает новую консоль. С унаследованной же консолью ничего не 
происходит, программа просто получает возможность создавать свою кон- 
соль. Если вы уберете функцию ЕгееСопзо1е() в начале программы и запус- 
тите ее из консольного приложения, то новая консоль создаваться не будет, 
а весь вывод произойдет в существующую консоль, несмотря на наличие 
функции А11осСопзо1е (). 
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Е 
5 


#1пс1оаае <и1паомз.Н> 
сваг * з="Ехатр]е оЁ соп$о1е ргодгам. \п\0"; 
свах БаЁ[100]; 
ОМОБВО а; 
У01а талп() 
{ 
//освободить консоль, если она унаследована 
ЕгееСоп50]1е(); 
//создать консоль 
А11осСопзо1е(); 
//получить дескриптор вывода на консоль 
НАМОЬЕ по=беф5<АНапа1е (5Тр ООТРОТ_ НАМРГЕ); 
//получить дескриптор ввода с консоли 
НАМОЬЕ р1=Сес5АНапа]е ($ТО_ТМРОТ_НАМОГЕ); 
//вывести строку на консоль 
Мг1сеСопзо]1е (Во, 5,136 у1еп ($), &а, МОГЬ) ; 
//использовать ВеаЯСоп$о1е для просмотра экрана консоли 
ВеааСопзо1е (11, (уо1а*) раЕ, 100, &а, МОЪЬ) ; 
//закрыть дескрипторы 
С1озеНапа1е (по); 
С1озеНапа]е (№1); 
//освободить консоль 


ЕгееСопз$01е(); 


8 Здесь и далее программы на С++, если это не будет оговорено особо, были созда- 
ны в среде \15иа1 Зиаю .МЕТ. 


279... 1!0 
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Программа из листинга 1.2 построена на основе функций АРГ. Даже функ- 
ЦИЯ 15%5г1еп, С ПОМОЩЬЮ Которой мы получаем длину строки, — это АР|- 
функция. А теперь посмотрим в листинге 1.3, как распознает исполняемый 
код дизассемблер ТА Рго?. 
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. Сехе: 
.Сехс: 
:00401009 


.сехе 


.Сехс: 
.Сехс: 
.Сехс: 
.Сехс: 
„.Сехс: 
.Сехс: 
.Сехе: 
.Сехе: 
.Сехеё: 
00401025 


.Сехе 


.Сехс: 


.Сехс: 
.Сехё: 
.Сехе: 
„.Сехс: 
.Сехс: 
. Сехс: 
.Сехе: 
.Сехс;: 
„.сехе: 


.сехе: 
.сехе: 
.сехс: 


00401000 
00401000 
00401001 
00401007 
00401008 


00401008 
00401011 
00401017 
00401019 
0040101В 
00401010 
00401017 
00401021 
00401023 


0040102А 


00401022 
00401030 
00401036 
0040103С 
00401035 
0040103Е 
0040103Е 
00401045 
00401047 


0040104С 
0040104Е 
00401053 


_па1п 


разн 
пох 
разв 
ра$В 
са11 
са11 
пох 
ра$В 
са11 
разв 
поу 
са11 
разв 
оу 
пох 


разв 


разв 
са11 
пох 

разв 
разв 
разв 
са11 
разв 
разв 


ри$в 
разй 
разв 


ргос пеаг ; СОРЕ ХВЕЕ: 5$агЕ+16Е?р 


ебх 

ебх, а$5:ЕгееСопзо1е 

е51 

еа1 

ебх ; ЕгееСопзо1е 


9$ :А1]осСоп$о1е 


еЯ1, а$:СесбхаНапа1е 
ОГЕРЕЕЕР5В ; посаНапЯ1е 
еа1 ; СесзхаНап1е 
ОГЕЕЕЕЕЕ6Ь ; пбсаНап Че 
ез$1, еах 

еа1 ; СесбеаНап 1е 
0 ; 1рВезегуеа 
еЯ1, еах 

еах, 1р5Ег1па 


оЕЁзее №прегОЕСВаг$Иг1 еп 
; 1р№опрегОЕСВах$Иг1Е еп 


еах ; 1рбегапа 

95:15Ег1епА 

есх, 1р5ег1па 

еах ; п№опоегОЕСВахг$ТоМк1{е 
есх ; 1РВоЕЕек 

е$1 ; Сопзо1едаерое 


Я9$:Иг1ЕеСоп$о1еА 


0 ; 1рВезегуеа 
оЕЁЕзее М№апбегОЕСВаг$Мг1сфеп 

; 12МопекОЕСваг$Веаа 
64в ; пмМитьегОЕСваг$ТоВеаа 
ОЕЁзеЕ ипк 4072С8 ; 1рВоЕЁЕег 
еа1 ; ВСопзо1еТприе 


9 Здесь и далее мы будем использовать программу-дизассемблер 1РА РКО версии 4.7. 
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.бехЕ:00401054 са1]1 @аз:ВеааСопзо1еА 


‚.Сехе:0040105А ризВ ез$1 ; ПОБдесЕ 

. Сехе:0040105В оу —е51, 95:С1озеНапа]е 

. Сехе:00401061 са1] е51 ; С1озеНара]1е 
‚ СехЕ:00401063 разв еа1 ; БОБдесЕ 
.Сехе:00401064 са11 е51 ; С1озеНап\1е 
.Сехе:00401066 са11 еБх ; ЕгееСоплзо1е 


.Сехе:00401068 рор е@а1 
„.Сехе:00401069 рор ез1 
.Бехе:0040106А хог еах, еах 
„.Кехе;:0040106С рор еБх 
„.Сехе:00401060 гееп 
.Сехе:00401060 ма1п  епар 


Даже неопытному программисту ясно, что дизассемблер 1РА Рго прекрасно 
справился с дизассемблированием исполняемого кода. Впрочем, мы пока не 
намерены разбирать листинги дизассемблеров, времени для этой работы у 
нас будет достаточно в следующих главах. Я всего лишь хочу акцентировать 
еше раз ваше, дорогие читатели, внимание на том, что из программ, напи- 
санных с помошью лишь АР]-функций, Получается достаточно прозрачный 
для понимания исполняемый код. 


Когда речь идет о программах, подобных представленной в листинге 1.2, 
мы, однако, вместо того, чтобы использовать АР[-функции, чаше всего 
пользуемся библиотечными функциями языка С++. В листинге 1.4 пред- 
ставлена как раз такая программа. 


—_ 






#1пс1о4е <зЕ91о. [> 


сВаг * з="Ехапр1е оЁ сопзо1е ргодгам. \п\0"; 
свах БаЁ[ 100]; 
у01А ма1п () 
{ 
руе$ ($); 
дее$ (БоЕЁ); 


Правда программа из листинга 1.4 не создает собственной консоли, а поль- 
зуется тем, что ей предоставляет операционная система. Но в целом все то 
же самое. Для работы же с консолью используются библиотечные функции 
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роз И деез. Интересно, что дизассемблер ГРА Рго легко справляется и со 
стандартными библиотечными функциями языка С++. Углубившись в код, 
например, функции роез, мы достаточно легко можем обнаружить, что вы- 
полнение данной функции в конечном итоге сводится к выполнению функ- 
ции АР| иг1хеЕ11е, которая в данном случае эквивалентна функции 
Их1сеСопзо1е. 


Но ведь при программировании часто используются и нестандартные биб- 
лиотеки, функции которых не так-то просто "раскрутить" на предмет того, 
для чего же они предназначены. Так, в частности, происходит, если вы по- 
пытаетесь дизассемблировать программу, написанную на Оер!!. Например, 
там для выполнения такого консольного оператора, как их1ее, требуется 
вызвать две библиотечные процедуры, назначение которых дизассемблер 
ТРА Рго уже не способен распознать. 


Итак, линейная структура (или, как мы ее называем, пакетная структура) 
консольной программы достаточно проста. И хотя сами действия могут быть 
весьма сложными, их следование друг за другом, несомненно, облегчает ис- 
следование кода. Однако если вы захотите писать программу, которая бы 
более тесно взаимодействовала с пользователем, вам придется обрабатывать 
события от клавиатуры и мыши. И здесь структура программы станет гораз- 
до сложнее. Вам придется вводить функцию для обработки основных собы- 
тий консоли и цикл обработки событий от клавиатуры и мыши. В листин- 
ге 1.5 представлена примерная схема работы такой программы. 





р 


9558$ 


ов с: Е. я О 





#1псТтоае <и1паом$.В> 


ВООГ МТМАРТ Папа1ехт (ОМОБВО) ; 
уо1аА 1праесоп$ (); 


у01Я рг1п® (сваг *); 


НАМРЬЕ 61,652; 

сраг * $1 = "Еггог 1приё!\п"; 
срах $2[35]; 

спаг * $4 = "СТВ+С\п"; 

сВаг * $5 = "СТВЬ+ВВЕАК\п"; 
свахг * $6 = "СГО$Е\п"; 

свах * $7 = "ГОСОЕЕ\п"; 

сВаг * $38 = "5НОТРОММ\п"; 
СВаг * $9 = "СТВГ\п"; 

сраг * $10="АЬТ\п"; 
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сПаг * $11="5НТЕТ\п"; 

сраг * $12=" \п"; 

сваг * $13="Соае %а \п"; 

саг * $14="САРЗГОСК \п"; 

сваг * $15="МОМГОСК \п"; 

СПаг * $16="5СВОШЬОСК \п"; 

сваг * $17="ЕпВапсеа Кеу (у1геаа]1] соае) %а \п"; 
сваг * $18="РаопсЕ1оп Кеу (у1гфеца]1] соае) %$а \п"; 
СПаг * $19="ГеЁф тоазе Бабеоп\п"; 

сВах * $20="В1авЕ шодзе Бабеоп\п"; 

сраг * $21="РоцЪ]1е с11ск\п"; 

сраг * $22="Мрее1 маз го11еа\п"; 

сраг * $23="Срагаскег '%с' \п"; 


сраг * $24="Госа®1оп оЁ сихгзохг х=%А у=%а\п"; 


уо1а та1п() 
{ 
//инициализация консоли 
ЕгееСопзо1е (); 
А11осСоп5о1е(); 
//получить дескриптор вывода 
61=Сес5<ЧНапа1е (5ТО_ООТРОТ_НАМОГЕ) ; 
//получить дескриптор ввода 
В2=бес5<ЧНапаТе (5Тр_ТМРОТ_НАМОГЕ); 
//установить обработчик событий 
Зе Соп$о1еСЕу1Напа]еу (Вапа]ек, ТВОЕ); 
//вызвать функцию с циклом обработки сообщений 
1праесоп$ (); 
//удалить обработчик 
ЗеЕСоп$о1еСег1Нап 1 ех (Вапа1ек, ГАЦЗЕ,) ; 
//закрыть дескрипторы 
С1озеНапа]е (01); С1озеНапа]Те (12); 
//освободить консоль 
ЕгееСоп5о1е(); 
//выйти из программы 
Ех1ЕРгосе$$ (0); 
}; 


//обработчик событий 
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ВООГ ИТМАРТ Вапа1ег (РМОВО с) 
{ 
//событие СТВ+С? 
1Е(СЕ==СТВЬ С_ЕУЕМТ) рг1п& ($4); 
//событие СТВТ+ВВЕАК? 
1Е(с&==СТВЬ ВВЕАК ЕУЕМТ) рг1пе ($5); 
//закрытие консоли? , 
1Е (с&==СТВЬ _СЪО$Е_ ЕХЕМТ) 
{ 
рге1пЕ ($56); 
51еер (2000); 
Ех1&Ргосез$$ (0); 
}; 
//завершение сеанса? 
1Е (сЕ==СТВЬ ТОСОЕЕ ЕУЕМТ) 
{ 
рг1пе ($7); 
5$1еер (2000); 
Ех1ЕРгосе$$ (0); 
}; 
//завершение работы? 
1Е(с&==СТВЬ ЗНОТРОММ ЕУЕМТ) 
{ 
ре1пе ($8); 
5]1еер (2000); 
Ех1Ргосез$$ (0); 
}; 
гебигп ТВОЕ; 
}; 
//функция с циклом обработки сообщений консоли 
У01А 1проёсоп$ () 
{ 
ОМОВР п; 
ТМРОТ ВЕСОВО 1г; 
ип11е (ВеаЯСопзо1еТприе (12, &1г,1,&п)) 
{ 
//здесь обработка событий мыши 
1Ё(1г.ЕуепеТуре==Мо05Е _ЕУЕМТ) 
{ 
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//двойной щелчок 
1Е(1г.Еуепе .МоицзеЕуепе . мЕуепЕЕ1а9$==рО0ВЬЕ СЬТСК) 
рг1пЕ ($21); 
//движение мыши по консоли 
1Е(1г.Еуеп®е .МоцзеЕуепе . аиЕуепЕЕ1а9$==МоЦ5Е_МОУЕР) 
{ 
имзрг1пЕЕ ($2,$24,1г.Еуепе .МопзеЕхепе. ЧмМоцзеРоз1%1о0п.Х, 
1г.Ехепе.МоцзеЕуепе . ЧмМоцзеРо$141о0п.У); 
рг1 пе ($2); 
}; 
//колесико мыши 
1Е(1г.Еуепе .МоцзеЕхепе . аиЕуеп{Е1а9$==МОЦ$Е МНЕЕТШЕО) 
рг1п ($22); 
//левая кнопка 
1Е(1г.Еуепе.МоизеЕуепе . дмВие к оп5$афе==ЕВОМ ТЕЕТ_1$Т_ВОТТОМ_РВЕЗЗЕО) 
рг1пе ($19); 
//правая кнопка 
1Е(1;.Еуепе .МоизеЕхепе . диВи соп5фасе==ВТСНТМО$Т_ВОТТОМ _РКЕ$ЗЗЕО} 
рг1п* ($20); 
}; 
1Е(1г.ЕуепеТуре==КЕУ ЕУЕМТ) 
{ 
1Е(1г.Ехепе.КеуЕхеп® .ЮКеуромт!=1) соп®1пце; 
//расширенная клавиатура 
1Е(1х.Ехепе.КеуЕхепе . амСопего1Кеуз са е==ЕМНАМСЕО КЕУ) 
{ 
изрг1пЕЕ (32, $17, 1г.Еухепе.КеуЕхуеп®.и\/1геца1КеуСоае); 
рг1п® ($2); 
}; 
//клавиша САРЗ ТОСК? 
1Е(1г.Ехепе.КеуЕуепе . ЧиСопего1Кеу$афе==САРЗУТОСК_ОМ) 
рг1ре {$14); 
//левый АБТ? 
1Е(1х.Еуепе .КеуЕхепе . ЧмСопего1Кеу5а+е==ЬЕЕТ_ АБТ РВЕЗЗЕР) 
рг1п* ($10); 
//правый АПТ? 
1Е(1г.Еуере.КеуЕуеп® . амСопего1Кеу5{афе==ВТСНТ_АБТ_РВЕЗЗЕО}) 
рг1пе ($10); 
//левый СТВЬ? 
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1Е(1г.Еуеп® .КеуЕхепе . диСопего1Кеу5аке==ЬЕЕТ СТВ РВЕЗЗЕО) 
рг1п® ($9); 
//правый СТВГ? 
1Е(1г.Еуепф.КеуЕуепе . ЧиСопего1Кеу5асе==ВАТСНТ_ СТВЬ РВЕЗЗЕР) 
рг1п& ($9); 
//клавиша ЗНТЕТ? 
12 (1г.ЕБуеп®.КеуЕхепе . амСопего1Кеу5${а+е==5НТЕТ РВЕ$5ЕО) 
рг1пе ($11); 
//клавиша МОМ ТОСК 
1Е(15.Еуеп® .КеуЕхепе .9мСопего1Кеу${а&е==МоМЬоск_ ом) 
рг1пе ($15); 
//клавиша ЗСВОШЬ 1ОСК 
1Е(1г.Еуепе .КеуЕуепе . ЧиСопего1Кеу5 а е==5СВоБТоСК_ ОМ) 
рг1пе ($16); 
//обработка обычных клавиш 
1Е(1х.Ехепе.КеуЕуепе. иСВаг.Азс11Сраг>=32) 
{ 
мзре1пЕЕ (32,523, 1г.Емепе.КеуЕхепе .оСраг.Азс11СВаг); 
рг1пе ($2); 
}е1зе 
{ 
1Е(15.Ехепе .КеуЕуепе .иСваг.Азс11Сраг>0) 
{ 
//здесь клавиши с кодом больше 0 и меньше 32 
имзре1пЕЕ ($2,513,1г.Емепе.КеуЕхепе . аСраг.Азс11Сраг); 
рг1п% ($2); 
}е1зе 
{ 
//назовем эти клавиши функциональными 
изрг1пЕЕ (52, 518,1х.Ехепе.КеуЕхепе .\\/1геоа1КеуСоае); 
рг1пе ($2); 


}; 

//сообщение об ошибке 
рг1пе ($1); 
31еер (5000); 
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}; 
//функция вывода на консоль 
\У0о1а рг1пе (сваг *3) 
{ 
РМОВО п; 
МузсеСопзо1е (11,5,15Е:1еп (5), &п, №ОЬЬ); 
}; 


В нашу задачу не входит разбирать данную программу, поскольку я рассчи- 
тываю на подготовленного в программировании читателя, но всем интере- 
сующимся программированием консольных приложений могу порекомендо- 
вать мои книги по программированию в \УМш4о\5 [1—4]. 


Анализируя программу из листинга 1.5, можно обнаружить примечательную 
деталь: Функция вапа1ег не вызывается явно. Ее адрес указывается в функ- 
ции АРГ $е-Сопзо1еСех1Напа1ег. Следовательно, единственный способ вый- 
ти на эту весьма важную часть программы — это получить ее адрес, анали- 
зируя вызов Функции $ееСопзо1еСЕг1Напа1ег. Именно так и поступает 
дизассемблер ГРА РКО. Взгляните на следующий фрагмент 


.Сехе:00401453 оу еа1, 93: 5е*Сопзо1еСЕг1Нап1 ег 
„.сехе:00401459 ризВ 1 ; Ааа 

. Сехе:0040145В разв ОЕЕзее 1ос 401000 ; Напа1егВоце1те 
„Кехе:00401460 — мо\ рСопзо1етирие, еах 

.Сехф:00401465 са11 еа1 ; ЗеЕСопзо1еСег1Нап1етх 


Посмотрите, дизассемблер не только правильно показывает сам вызов 
функции зееСопзо1еС+хг1Напа1ехг, НО И совершенно верно трактует оба ее 
параметра. Пусть читателя не смущает команда 


поУу ЮСопзо1еТпрае, еах 


Она, разумеется, к вызову Функции Соп5о1еСЕг1Напа1ег не имеет никакого 
отношения, а относится к предыдущему вызову функции сесзеанапа1е — 
издержки оптимизации. 


Замечание 


Да, надо констатировать, что современные компиляторы часто гораздо лучше 
умеют оптимизировать код, чем программисты, профессионально пишущие на 
ассемблере. Программист всегда связан разными условностями, например, хо- 
рошей читаемостью программы, а для компилятора это не имеет никакого зна- 
чения. Впрочем, о некоторых способах оптимизации мы еще поговорим. 
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Но вернемся опять к приведенному выше фрагменту. Благодаря функции 
$еСопзо1еСЕг1Напа1ек дизассемблер совершенно верно определяет начало 
функции вапа1ек, что позволяет ему правильно ее дизассемблировать. 


Обратим внимание на функцию 1приесопз. В принципе в ней нет ничего 
необычного. Циклический вызов функции Веа9Сопзо1етпри* позволяет об- 
наружить те события, которые не отлавливаются функцией вапа1ег. Дан- 
ный цикл можно назвать циклом обработки сообщений консольного при- 
ложения. Подобный цикл более характерен для оконных приложений, но, 
как видите, для консольных приложений это также вполне законный` метод 
программирования. Разумеется, между двумя способами обработки сообще- 
ний есть существенная разница. Действительно, приложение может иметь 
лишь одно консольное окно, поэтому не встает вопрос, к какому окну будет 
относиться данное сообщение. Приложение СОТ может иметь множество 
окон, а цикл обработки сообщений — один (см. разд. 1.33), и там каждое 
сообщение маркируется дескриптором окна, к которому данное сообщение 
обращено. Здесь и возникает определенная сложность, но о ней мы погово- 
рим в следующем разделе. 


1.3.3. Оконные приложения 


Оконные или графические приложения операционной системы \Мп4о\5$ 
строятся именно на событийных механизмах. Другими словами, большая 
часть кода таких программ сосредоточена в специальных функциях, которые 
подобно Функции вапа1ег из предыдущего раздела вызываются системой 
при наступлении какого-либо события. Кроме этого, для такого типа при- 
ложений характерно наличие цикла обработки сообщений, с помощью ко- 
торого пришедшее в приложение сообщение препровождается соответст- 
вующей функции обработки (листинг 1.6). 





ИСО 





#10с1аае <итпдомз.И> 
ТВЕЗОГТ САШВАСК ИпарРгос (НИМО, ОТМТ, МРАКАМ, ГРАКАМ); 
10 АРТЕМТВУ И1пМалп (НТМУТАМСЕ РТпзбапсе, 

НТМУТАМСЕ ПРгеуТпз$апсе, 

ГРУТК 1рспаГллте, 


бобы пспазром/) 


сраг спате [ ]="С1аз$"; 
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сраг &11е[]="Простое оконное приложение"; 


М5 


С мза; 


//структура для регистрации класса окон 


МИ 


УС. 


Ус. 


мс. 


мс. 


мс 


УТС. 


УС. 


Ус. 


УС. 


УС. 


ОСЬА$5 мс; 

зЕу1е =0; 

ТрёпипаРгос = (ИМОРВОС) ИпарРгос; 

СЬС1зЕхЕга =0; 

срипаЕхега =0; 

.ВТозфапсе =рТпзфапсе; 

ВТсоп =ГоааТсоп (ВТпзфапсе, (ГРСТУТВ)ТРТ АРРЬТСАТТОМ); 
ЮБСогзог =ГоааСигзог (МО, ТОС АВКОЙ); 

ЮргВаскагочпа =(НВВО$ЗН) (СОГОВ_ИТМООИ+1); 


1рз2МепиМате =0; 


1р$2С1аззМаме =спапе; 


//регистрируем класс 


1Е (!Вед1з$егС1аз$ (&мс)) гебагп 0; 


// 


создать окно 


НИМО  №Ира = Сгеазей1лпадом ( 


спаме, //класс 


161е, //заголовок 
$ ОУЕВКТАРРЕРИТМООЙ, //стиль окна 


0, //координата Х 

0, //координата У 

500, //ширина окна 

300, //высота окна 

МО, //дескриптор окна-родителя 
мо, //дескриптор меню 

ВТпэзбапсе, //идентификатор приложения 


МОБ); 


//указатель на структуру, посылаемую 
//по сообщению ИМ_СВЕАТЕ 


//проверим, создалось ли окно 
ЗЕ (!5мра) 
//показать окно 

ЗВомМ1паом (ВИпа, пСпабвом); 
//обновить содержимое окна 
Ордаеей1паом (ВИпа) ; 


гебогп 0; 
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//цикл обработки сообщений 

\м111е (сееМеззаде (&тза, МОШ, 0, 0)) 

{ 

//транслировать коды виртуальных клавиш в АЗСТТ-коды 
Тгап51аеМеззаде (6т$4а); 

//переправить сообщение процедуре окна 


01 5раесбМеззаде (&п5$9); 


гебагп 0; 


//процедура окна 

ТВЕЗОЬТ САШ.ВАСК ИпаРгос (НИМО БИипа, 
ОТМТ пеззасе, 
МРАВАМ мРагат, 
ТРАВАМ 1Рагат) 


5м1Е СВ (теззаде) 
{ 
//сообщение при создании окна 
сазе ММ СВЕАТЕ: 
Бгеак; 
//сообщение при закрытии окна 
сазе ММ РЕЗТВОУ: 
//необходимо для выхода из цикла обработки сообщений 
РозЕ0ц1ЕМеззаде(0); 
Бгеак; 
//сообщение, приходящее при перерисовки окна 
сазе ММ РАМТ: 
Бгеак; 
//возврат необработанных сообщений 
Чегай1*: 
гесагп ПеЁМ1паомРгос (В\па, пеззаде, мРагат, 1Рагат); 
} 


гебагп 0; 
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В листинге 1.6 представлено минимальное оконное приложение, но обла- 
дающее всеми основными функциональными особенностями подобных 
программ. Вообще, оконные приложения строятся на основе главного ок- 
на. Все остальное "вращается" вокруг этого окна, как планеты вокруг 
Солнца. Поэтому легко выделить три обязательные составляющие такого 
приложения: 


С определение и регистрация класса окон, к которому и будет принадле- 
жать главное окно; 


О цикл обработки сообщений, основная задача которого — "вылавливать" и 
перенаправлять нужной оконной функции (не только функции главного 
окна) сообщения, приходящие на данное приложение; 


С функция главного окна, а также возможно функции других окон. 


Зная о такой закономерности, мы можем целенаправленно осуществлять 
поиск этих элементов оконного приложения. 


Главной в цикле сообщений является функция АР| 01 зраесВМеззаде. Она и 
перенаправляет пришедшее сообщение функции данного окна. Структура 
сообщения имеет следующий вид: 
суреаеЕ зегасе { 

НИМО Бута; 

ОТМТ пеззаде; 

МРАВАМ мРагам; 

ТРАВАМ 1Рагам; 

ОМОВО Е1те; 

РОТМТ ре; 
} М5С 


Здесь: 
випа — дескриптор окна, куда адресовано данное сообщение; 


пеззаае — код сообщения; 


1Рагам — дополнительная информация, может отсутствовать; 


О 
О 
О х„рагам — дополнительная информация, может отсутствовать; 
О 
О спе — указывает время, когда сообщение было послано; 

О 


р+ — определяет координату курсора мыши в момент послания сообще- 
ния. Младшее слово — координата х, старшее — у. 


Значение нупа и определяет окно, куда должно быть направлено сообщение. 
Для каждого же окна, точнее класса окон, определена своя функция обра- 
ботки сообщений (см. листинг 1.6). Разумеется, система знает это, и сооб- 
щение приходит туда, куда и следовало. Но мы-то этого не знаем, а между 
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тем основная часть кода программы либо сосредоточена в таких функциях, 
либо вызывается из них. Как же быть? Решить эту проблему (по крайней 
мере, правильно начать решать) можно, если вспомнить, что все оконные 
функции регистрируются. Регистрация функций осуществляется вместе с 
регистрацией класса окон. Посмотрите листинг 1.6, в поле 1рЕпипаркос как 
раз и заносится адрес функции обработки оконных сообщений. То есть гля- 
нув на дизассемблированный код, мы узнаем адрес функции. Вот что, в ча- 
стности, содержится в листинге дизассемблера [ЛА Рго: 


.Сехе:00401077 моу [езр+801+МпасС1азз.1рЕпИпарРгос], оЕЁзефе 1ос 401000 


Здесь 1ос_ 401000 как раз и определяет адрес оконной функции. Программа 
прекрасно разбирается в функции Вед1зкегС1азз и в той структуре, которая 
служит аргументом этой функции. А вот фрагмент, полученный с помощью 
также весьма уважаемого дизассемблера \/32Пазт версии 10 (листинг 1.7). 





:00401077 С744241800104000 по\у [езр+18], 00401000 


:0040107Е 896С241С поу Чмога рег [езр+1С], ебр 
:00401083 89662420 по\ Чмога рёг [езр+20], ебр 
:00401087 89742424 пох Чмога рЕг [езр+24], ез1 


* ВеЁЕегепсе То: ОЗЕВЗ2.ГоааТсопА, Ога: 01ВОВ 
| 


:0040108В ЕЕ15С4504000 Са11 амога рег [004050С4] 
:00401091 6800720000 разр 00007Е00 

:00401096 55 разь ебр 

:00401097 89442428 оу Фмога рег [е5р+28], еах 


* ВеЁегепсе То: 05ЕВЗ2.ТоаАСагзогА, Ога:01В98 
| 


:0040109В ЕЕ15С8504000 Са11 Чмога рег [004050С8] 
:004010А1 89442424 по\ Чмога рег [езр+24], еах 
:004010А5 81044240С 1еа еах, Фмога рег [езр+0С] 
:004010А9 80542450 1еа еах, амога рег [езр+50] 
:004010Ар 50 разВ еах 

:004010АЕ С744242С06000000 гоу [езр+2С], 00000006 
:0040108В6 89662430 поу Чмога рег [езр+30], ебр 


:004010ВА 89542434 поюУу Амога рег [езр+34], еах 
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* ВеЕегепсе То: 0$ЕКЗ2.Вед1з$сегС1аззА, Ога:02168 


| 
:004010ВЕ ЕР15СС504000 Са11 Змога рег [004050СС] 
:004010С4 6685С0 сезе ах, ах 


Рассмотрев листинг дизассемблера \/32Оазт, можно сделать вывод, что его 
анализ гораздо менее информативен, чем у дизассемблера ГРА Рго. Все же 
ему удается в большинстве случаев правильно определить функции АР1. Так 
что мы легко находим в начале функцию вед1зкегС1азз, а затем по другим 
функциям, предшествующим Вед1з+егС1азз, можем сделать вывод, что 
команда поу [е5р+18],00401000 и есть присвоение полю 1рЕпипаркос зна- 
чения адреса функции окна. Итак, узнав функцию окна, мы можем теперь 
проанализировать текст этой функции и найти нужный фрагмент, выпол- 
няющий то или иное действие. 


Сама оконная функция предназначена для обработки сообщений, которые 
на нее приходят. Имеется огромное количество сообщений, извешающих о 
событиях, происходящих с окном или же элементами, на нем расположен- 
ными. Наконец, в функцию окна можно посылать и сообщения, определяе- 
мые пользователем. Для этого существует специальная константа им озЕВ, и 
все сообщения, определяемые программным путем, должны быть больше 
или равны этой константе. По тексту оконной функции можно легко опре- 
делить реакцию на то или иное сообщение, и тем самым понять механизмы 
работы оконного приложения. 


Проблема, однако, в том, что сама оконная функция относится не к кон- 
кретному окну, а целому классу окон. Конечно, нередко, особенно это каса- 
ется того случая, когда приложение строится на основе АР[-программиро- 
вания, одному окну соответствует одна функция. Но очень часто это совсем 
не так. Обработка сообщений для разных окон не составляет большого тру- 
да, т. к. в сообщении присутствует дескриптор окна. Но в этом содержится 
определенная сложность для анализа исполняемого кода, поскольку при 
статическом анализе кода достаточно сложно определить, для какого окна 
данный участок обрабатывает сообщение. Здесь на помощь приходят отлад- 
чики, с помощью которых можно установить точки останова (БгеаКрош® на 
код оконной функции или, как в случае отладчика Зой [се, на конкретное 
сообщение конкретного окна и выяснить каким участком кода обрабаты- 
ваются сообщения конкретного окна. 


Разумеется, в оконной программе очень важную роль играет цикл обработки 
сообщений. Обнаружив его в дизассемблируемом коде, можно выйти на блок 
программы, предшествующий циклу, т. е. обнаружить, где создается основное 
окно и регистрируется класс основного окна. Искать цикл обработки сообще- 
ний можно по таким функциям АР] как сееМеззаде, РееКМеззаде, 
Тгапз1афеМеззаде И 215рассремеззаце, а Также 1501а1о9Меззаде. 
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1.3.4. Приложения на основе диалоговых окон 


В листинге 1.8 представлен пример, когда главным окном является модаль- 
ное диалоговое окно (рис. 1.6). Модальное диалоговое окно отличается от 
обычного окна. 


О Модальное диалоговое окно создается на основе шаблона, хранящегося в 
ресурсах или созданного в памяти. В примере из листинга 1.8 диалоговое 
окно создается на основе шаблона, хранящегося в файле ресурсов. 


С Для создания модального диалогового окна используется функция 
2:а1одВохРагам. Четвертым параметром функции как раз указывается ад- 
рес функции обработки сообщений диалогового окна. Функция 
21: а1одВохРагам Не возвращает управление до тех пор, пока не будет вы- 
звана функция Еп301а1о4. 


С Функция обработки сообщений диалогового окна очень похожа на функ- 
цию обработки сообщений обычного окна. Отличия очень незначитель- 
ные. Если обработку сообщений берет на себя функция, то она возвра- 
щает +гое, в противном случае возвращается Еа1зе. Что касается 
сообщений, то отличие в основном заключается в том, что на диалоговое 
окно приходит сообщение им тмттотаЬОС вместо им СВЕАТЕ. 


О Как видим, для диалогового окна нет цикла обработки сообщений, как в 
случае обычного окна. Точнее цикл-то есть, но его создает система, она 
же и берет на себя обработку и перенаправление сообщений. Так что, 
повторю, вы можете встретить приложение, в котором отсутствует цикл 
обработки сообщений. 


С Важным моментом работы с модальными диалоговыми окнами является 
обработка сообщения им_стозЕ при вызове функции Еп901а1од, которая 
удаляет из памяти модальное диалоговое окно. 


Кстати, типичным примером модального диалогового окна является окно, 
вызываемое функцией АР] меззадеВох. Здесь уже система берет на себя не 
только обработку сообщений, но и создание шаблона окна, и организацию 
функции сообщений окна. 





//идентификаторы ресурсов 
//определение констант стилей 

#аеЁ1пе М$ УТЗТВЬЕ 0х0100000001 
#аеЕ1пе №5 ЗУЗМЕМО 0х00080000Т, 
#аеЕ1пе \$ МТМТМТ2ЕВОХ 0х000200001, 
#ЧеЁ1пе М5 МАХТМТЕЕВОХ 0х000100001 
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//определение модального диалогового окна 

ОТАГОС ОТАГОСЕХ 10, 10, 150, 100 

ЗТУГЕ И$ УТЗТВЬЕ | И$_ЗУЗМЕМО | М$ МТМТМТАЕВОХ |М$_МАХТМТ2ЕВОХ 
САРТТОМ "Модальное диалоговое окно" 

КОМТ 12, "Аг1а1" 

{ 

} 


//программный модуль 


#1пс1оаае <м1паом$.Н> 


106 ОМпарРгос (НИМО, ОТМТ, ИРАВАМ, ГРАКАМ) ; 


_ $%4са11 М1пМа1пт (НТМЗТАМСЕ ВТпзфапсе, 
НТМЗТАМСЕ ПРгеуТпзфапсе, 
ГРЗУТВ 1рСпа1пе, 
пе оспа$ром 
) 
{ 
//создать немодальное диалоговое окно 
21а1о9ВохРагам (йТизфапсе, "ОТАГОС" , МОБ, (РЫСРВОС) ОИпаРгос, 0) ; 
//закрыть приложение 
Ех1еРгосе$$ (0); 
}; 
//функция обработки сообщений модального окна 
11 ОМпарРгос (НИМО Витара, ОТМТ оМзд, ИРАВАМ мРагаш, ГРАВАМ 1Рагат) 
{ 
УТЕС (9М59 ) 
{ 
//сообщение, приходящее при создании диалогового окна 
сазе ММ ТМТТОТАГОС:; 
Ьгеак; 
//сообщение, приходящее при попытке закрыть окно 
сазе ИМ СТОЗЕ: 
Епар1а109 (Вмпар19,0); 
гесагп ТВОЕ; 
//сообщение от элементов управления 
сазе ИМ СОММАМП: 
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. 
т 


Ьгеак 


. 
: 


гебигп РГАГЭЗЕ 


.- 


Примечание 


можете просто указать строку 


Вы 


В файле ресурсов (см. листинг 1.8) мы явно определяем константы — стили 
Но это совсем необязательно. 


окна. 
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$Е4са11 01а1о9Гапс (НИМО, ОТМТ, ИРАВАМ, ГРАВАМ) 


00401000 ; ВОО 


.Сехе 


И1пМалп (х,х,х,х) +6? 


РАТА ХВЕЕ 


ргос пеаг ; 


1оагапс 


ла 


00401000 р 
00401000 
00401000 
00401000 
00401000 


‚Сехе 


.ТехЕ 
.Сехе 


4 
8 


5519 = Амога рег 


ага 


Чмога рег 


4 


„.Сехе 
‚сехЕ 
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.Сехе: 
„.Сехе: 
.Сехе: 
.бехё: 
:00401000 


.сехЕе 


„.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.сехе: 
.Сехё: 
.Кехё: 
.Бехё: 
.Сехе: 
00401020 


‚Сехе 


.Сехе: 
.Сехё: 
‚.Сехе: 
‚Сехе: 
.бехё: 
.Сехе: 
‚.Сехе: 
.Сехё: 
.Сехе: 
‚. бехе: 
‚ Сехе; 
.Сехё: 
.Сехё: 


00401000 
00401005 
00401007 
00401008 


0040100Е 
00401014 
00401014 
00401014 
00401016 
00401016 
00401016 
00401016 
00401017 
00401020 
00401020 


00401020 
00401020 
00401020 
00401020 
00401020 
00401020 
00401020 
00401024 
00401026 
00401028 
00401020 
00401032 
00401033 


стр 
02 
ед 
разв 
разй 
са11 


1ос_401014: 


ХОЕ 


геёп 


[езр+ага_4], 108 
ЗПоге 1ос 401014 


еах, [езр+1019] 
0 ; ПпВезо1* 
еах ; 601а 


95:Еп901а1о09 


; СОБЕ ХВЕЕ: 21а1о9РЕапс+5?3 


еах, еах 


01а1о9Еопс епар 


; _ 36аса11 ИлпМалп (х,х,х,х) 


_ИМ11Ма11@16 ргос пеаг ; СОБЕ ХВЕЕ: 
ВТпзбапсе = амога рёк 4 
ПОХ еах, [езр+пТпз%апсе] 
разв 0 ; АмТп1ЕРакат 
разН ОЕЁзее О1а1о9Еипс ; 1р01а1о9Еипс 
разв 0 ; Б\парРагепе 
разй ОЕЁзее Тепр1абеМмапе ; 1рТепр1абеМаме 
рав еах ; ЮТозбапсе 
са11 45 :О01а1од9ВохРакамА 


; Сгеабе а моЧа1 а1а1оа Бох Еком а 


‚Сехе: 
.Сехс: 
.Сехе: 


.Сехе: 


00401033 
00401039 
0040103В 
00401041 


разв 
са11 


о бецы 


; Тгар ®о Перааддег 
‚Сехе:00401041 М1пМа1п@16 епар 


; Я1а1оа Бох бетр1аке гезоцгсе 
0 ; чЕх1&Соае 
9$ :Ех1Ргосе$5 
3 


5ЕакЕ+186 
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Наконец, следует упомянуть еще один тип окна — немодальные диалоговые 
окна. Для этого типа окон необходим явный цикл обработки сообщений. 
В листинге 1.10 приведен пример построения приложения, где главным ок- 
ном является немодальное диалоговое окно. 





//файл ресурсов 


//идентификаторы ресурсов 
//определение констант стилей 

#аеЁ1пе И$_УТЗТВЬЕ 0х010000000Тт, 
#АеЕ1пе М5 ЗУ5МЕМО 0х00080000Т, 
#АеЕ1пе И5$_ МТМТМТ2ЕВОХ 0х00020000Т, 
#АеЁ1пе М5 МАХТМТ2ЕВОХ 0х00010000Т, 


//определение немодального диалогового окна 

ОТАГОС ОТАГОСЕХ 10, 10, 150, 100 

ЗТУГЕ И$ УТЗЭТВЬЕ | М5 ЗУЗМЕМО | М$ МТМТМТЬЕВОХ | М$_МАХТМТЕЕВОХ 
САРТТОМ "Немодальное диалоговое окно" 

ЕОМТ 12, "Аг1а1" 

{ 

} 


//программный модуль 
#1пс1аае <илпаомз. [> 
М5Сс пза; 


10 ОмрарРгос (НИМО, ОТМТ, МРАВАМ, ГРАВАМ) ; 


__369са11 М1пМа1п (НТМ$ТАМСЕ ВТпз®апсе, 
НТМЗТАМСЕ ПРгеуГТпз*апсе, 
ГРЗТВ 1рСиа!1те, 
118 пСпа$Во\ч) 
{ 
//немодальное диалоговое окно 
НИМО ва19=Сгеаке01а1о9 (ВТпз$апсе, "РТАТОС" , МОТЛ,, (РЫ.СРВОС) БИпаРгос) ; 
//цикл обработки сообщений 
ир11е (СеЕМеззаде (&мза, МОШ, 0, 0)) 
{ 
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1$01а1о9Ме5заде (№419, &мза); 


//закрыть приложение 
Ех1{Ргосезз$ (0); 
}; 
//функция немодального окна 
106 ОмпарРгос (НИМО Ьмпар019,ОТМТ оМза, МРАВАМ мРакат, ТГРАВАМ 1Ракап) 
{ 
$1 СП (иМ$9) 
{ 
//сообщение, приходящее при создании диалогового окна 
сазе ММ ТМТТОТАГОС:; 
ргеак; 
//сообщение, приходящее при попытке закрыть окно 
сазе ММ ПЕЗТВОУ: 
Роз Оп1Меззаде (0); 
Ьгеак; 
сазе ММ СГОЗЕ: 
Резегоу\1паом (Вмпар19а) ; 
гебатп ТВОЕ; 
//сообщение от элементов управления 
сазе ММ _ СОММАМП: 
Ьгеак; 
}; 


тгееагп ЕГАГЗЕ; 
}; 


Как видно из листинга 1.10, программа по своей структуре напоминает 
обычное оконное приложение, но есть и некоторые нюансы. 


С Отсутствует блок регистрации класса окон, что, конечно, является оче- 
ВИДНЫМ. 


С Цикл обработки сообщений несколько видоизменился. Вместо обычных 
функций Тгапз1акеМеззаде И О1зрабспМеззаде взята функция 
1301а1одМеззаде. Использование последней связано с проблемой нажа- 
тия клавиши <Таб> для перехода между элементами управления окна. 
Для того чтобы в немодальном диалоговом окне все происходило пра- 
вильно, используется функция 1301а1о9Меззаде. В общем случае, когда в 
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приложении могут быть и обычные окна, и диалоговые немодальные ок- 
на, цикл обработки сообщений может выглядеть и так: 


ир11е (СефМеззаде (&пз9, МОШЬ, 0, 0)) 
{ 
1Е(!1$01а1оа9Меззаде (Вм, &тза) ) 
{ 
Тгапз1асеМеззаде (&тз9); 


01зраесрМеззаде (&мз9); 


Здесь пи — это дескриптор диалогового немодального окна. Впрочем, 
функция 1301а1о9Меззаде может быть использована и для обычного окна. 


( Замечание ) 


Вообще, кроме указанных выше функций АР!, цикл обработки сообщений мо- 
жет содержать и другие функции. Там могут присутствовать дополнительные 
проверки, вызовы процедур и другой код. Иногда очень сложно понять, что пе- 
ред нами именно цикл обработки сообщений. Однако наличие таких функций, 
как СееМеззаде, РееКМеззаде, П015зраёсПМеззаде, Тапз1акеМеззаде, 
1301а1о4Меззаде, должно насторожить вас и заставить внимательнее отне- 
стись к исследуемому тексту. 


С Бросается в глаза также некоторое отличие в обработке события закры- 
тия окна (щелчок по кнопке закрытия в правом верхнем углу). Дело в 
том, что в случае обычного окна оно действительно закрывается систе- 
мой и соответственно на функцию окна приходит сообщение 
ИМ РЕЗТВОУ, Которое мы обрабатываем для выхода из цикла обработки 
сообщения (РозЕОц1%Меззаде). В случае немодального диалогового окна 
оно не закрывается автоматически, поэтому мы обрабатываем сообщение 
ИМ СЪОЗЕ и закрываем окно с помощью функции резекгоуй1паом. Ника- 
кой особой тайны здесь нет. Все дело в функции реЕИ1паоиргос, которая 
обрабатывает сообщение им_стозЗЕ и вызывает функцию БезЕкоуй1паом 
неявно. 


1.4. Формат команд микропроцессора П\е!| 


1.4.1. Общие соображения 


Рассматривая список команд микропроцессора РепНитт, у вас, дорогие чита- 
тели, возможно, возник вопрос: как команды хранятся в памяти и чем, ска- 
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жем, команда моу ЕАХ,ЕВХ отличается от команды моу ЕАХ, ЕОтТ? Задача дан- 
ного раздела — показать некоторые закономерности кодирования команд 
процессора ш!е. Возможно, читатели сами увлекутся процессом анализа 
форматов команд, и это сослужит им добрую службу в деле исследования 
исполняемого кода. 


На рис. 1.7 представлена область памяти, где расположен код программы. 
Дамп сделан с помощью отладчика ОПуОбв.ехе, о котором речь еще впере- 
ди. Чтобы расшифровать эту Последовательность байтов, превратить их в 
машинные, а точнее, ассемблерные команды, необходимо знать формат этих 
команд. Вот на этом мы сейчас и остановимся. 


вата 
00401010 


Эзаотога 





Рис. 1.7. Дамп кода программы 


Прежде всего, замечу, что длина команды может составлять от одного до 
десяти и более байтов. На рис. 1.8 представлен общий формат команды 
процессора Пе]. Как видим, структура команды может быть достаточно 
сложной. Но что нас должно, несомненно, утешить — это то, что микро- 
процессору удается понять код команды и выполнить ее, а, следовательно, и 
наше намерение разобраться в этой структуре совсем небезнадежно. 


Начнем с префиксов. Как видим, префиксы могут быть, а могут и отсутст- 
вовать. Логично было бы предположить, что все указанные на рисунке пре- 
фиксы должны иметь строго заданный код, так чтобы при расшифровке 
нельзя было перепутать префикс и код команды. Итак, всего сушествует че- 
тыре вида префиксов: 


С префикс команды может принимать следующие значения: 
» ЕЗН — префикс повторения ВЕРЕ/ВЕР?; 
» Е2Н — префикс повторения веЕРМЕ/ВЕРМО; 
е кон — префикс блокировки шины госк; 
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МОО КЕС/КОП КИМ $$ пдех ВАЗЕ 
7—6 5-3 2-0 7—6 5-3 2-0 


Модификатор, регистр — память Масштаб, индекс, база 
































Префиксы | Код команды | МОО КМ В Смещен де епоередсте к нный 
—4 бай —2 бай —1 бай —1 бай 
0-4 байта | 1-2байта | 0-1 байт | 0-1 байт ||) дбата| о12 4 байта 


Виды префиксов 





















Префикс 
команды 
1 байт 


Префикс 
размера адреса 
1 байт 


Префикс Префикс 
размера операнда | замены сегмента 
1 байт 1 байт 


Рис. 1.8. Формат команды микропроцессора те! 


С префикс размера адреса (замены размера) принимает значение 67н; 
С префикс размера операнда (замены размера) принимает значение 6бн; 
О префиксы замены сегментов: 

» ДЛЯ регистра с$ — 2ЕН; 

» для регистра $$ — з6н. 

®» ДЛЯ регистра 0$ — ЗЕН; 

» ДЛЯ регистра Ез — 26н; 

» ДЛЯ регистра Ез — 64н; 

» ДЛЯ регистра с$ — 65н. 


Очень важно отметить, что более двух префиксов одного вида не может 
встречаться в одной команде. Попытка записать такую команду вызовет 
ошибку процессора. 


Итак, зная коды префиксов, мы с достоверностью можем сказать, с чего 
начинается команда: с кода команды или префикса. Конечно, вы, читатели, 
понимаете, что это только в том случае, если мы с достоверностью знаем, с 
какого адреса начинается анализируемая нами команда, в противном случае 
дизассемблирование начнется с середины команды, и в результате мы полу- 
ЧИМ ассемблерный код, совсем не соответствующий действительности. 
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1.4.2. Код команды 


Обратимся теперь к коду команды процессора. Рассмотрим маленький и 
очень простой фрагмент программы на ассемблере: 


РОЗН ВАХ 
РОЗН ЕВХ 
РОЗН ЕСХ 
РОР ЕСХ 
РОР ЕВХ 
РОР ЕАХ 
ВЕТ 


Как видим, содержимое трех регистров поочередно сохраняется в стеке, а 
затем значения, хранящиеся в стеке, выталкиваются в те же регистры. Далее 
происходит выход из текущей процедуры. Так вот, если мы обратимся к об- 
ласти памяти, где хранятся данные команды, то обнаружим следующую по- 
следовательность байтов: 


50 53 51 59 5В 58 С3 


Первое, что приходит в голову при виде этой последовательности, — на ка- 
ждую из представленных выше команд приходится один байт. Перед нами, 
дорогие читатели, типичные представители однобайтовых команд. Таким 
образом, например, сзн — это не что иное, как код команды ВЕТ, точнее 
ВЕТМ. Однако весьма интересны первые шесть битов. Обратимся вначале к 
командам РОЗН. Вот двоичные эквиваленты этих команд: 010100008 (РОЗН 
ЕАХ), 01010011В (РОЗН ЕВХ), 01010001В (РОЗН Есх). Заметьте, что команды 
отличаются только младшими битами. Сам собой напрашивается вывод: в 
команде зашифрована и сама команда, т. е. действие и регистр, подвергаю- 
щийся данному действию. Чтобы подтвердить нашу догадку, рассмотрим 
двоичные коды следующих трех команд, т.е. команд РоОР. Вот они: 
010110018 (РОР ЕСХ), 01011011В (РОР ЕВХ), 010110008. Ну вот, кажется, си- 
туация начинает немного проясняться. Сравните, например, двоичные пред- 
ставления команд РОЗН ЕВХ И РОР ЕВх. Заметьте, первые два бита совпадают. 
Но, по сути, совпадают первые два бита и у таких пар, как РОЗН ЕАХ И РОР 
ЕАХ И РОЗН ЕСХ И РОР ЕСХ. А если уж быть совсем точным, то совпадают пер- 
вые три бита. С другой стороны, у всех команд рРОзн совпадают пять послед- 
них битов (010108), соответственно та же ситуация и у всех команд рРОР 
(01011в). Закономерность, которую мы обнаружили, не случайна. Действи- 
тельно, в коде команд РОЗН гед И РОР гед зашифрованы не только действия, 
но и регистры. Коды регистров в действительности универсальны. С этими 
кодами вы можете столкнуться не только в коде самой команды, но и в бай- 
те поля Моа в/М. Но об этом поле речь пойдет несколько позднее. 
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А сейчас я приведу коды 32-битных рабочих регистров: 
С ЕАх — 0008; 
О Евх — 011в; 


О Есх — оо1в; 
С Ебх — 0108; 
С Ест! — 1118в; 
С ЕЗТ — 1108; 
О ЕЗР — 1008; 
О ЕВР — 1018. 


Казалось бы, все чрезвычайно просто, закономерность нами нащупана, но 
не тут то было. Во-первых, как быть с 16-битными регистрами, во-вторых, 
куда девать 8-битные регистры, и в-третьих, и это должно расстроить нас 
более всего, коды операций РОЗН и РОР, где операндами выступают не рабо- 
чие регистры или же ячейки памяти, совсем другие. Но обо всем по порядку. 


Заметим, что команды РОЗН И РОР невозможны с 8-битными регистрами. 
Таким образом, проблемы адресации 8-битных регистров в командах 
РОЗН/РОР Не возникают. А вот как быть с 16-битными регистрами. Вы будете 
удивлены, но 16-битные регистры кодируются так же, как и 32-битные. То 
есть, например, регистр Ах имеет код 0008, регистр зт имеет код 1108, 
ит. д. А как же быть с командами пересылки данных в стек, где фигуриру- 
ют 16-битные регистры? Здесь достаточно просто: перед кодом команды ис- 
пользуется префикс замены размера операнда, т. е. ебн. Таким образом, на- 
пример, команда розн Ах будет представлена двумя байтами 66 50, а 
команда РОР ЕАХ последовательностью 66 58. Встретив этот префикс, про- 
цессор уже знает, что в команде следует заменить операнд с 32-битного на 
16-битный. Вывод, который вытекает из полученного нами факта, напра- 
шивается сам собой: использование 32-битных регистров более эффектив- 
но, чем 16-битных. 


К сожалению, выведенные нами закономерности относительно кодов реги- 
стров в командах РОР/РИЗН на этом и заканчиваются. Вот коды этих команд, 
примененные к сегментным регистрам: 


О РОЗН С$ — ОЕН; 
О РОЗН 0$ — 1ЕН; 
С] РОЗН $$ — 16Н; 
РОЗН ЕЗ — О6Н; 
РОЗН Е$ — ОКАОН; 


о 


РОЗН 65$ — ОРГАВН,; 
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О РоР 5$ — 1ЕН; 
О РоОР $$ — 17Н; 
О РоР ЕЗ — о7Н; 
О РоОР Е$ — ОЕАЛН; 
О РОР 6$ — ОЕАЭН. 


Единственное, что можно обнаружить в перечисленных командах, — это то, 
что коды парных команд (например, РОЗН О5/РОР 0$) отличаются друг от 
друга на 1. Отметим также, что данные команды для сегментных регистров 
Е5 И 65$ имеют двухбайтовый код. Поскольку данные регистры появились в 
семействе Пе] несколько позднее, для них просто не хватило однобайтовых 
кодов. Вообще, надо понимать, что разработчики процессора всегда нахо- 
дятся в очень стесненном положении, и требовать от них всеобъемлющих 
закономерностей не стоит. 


Но продолжим наши исследования. Меня, в частности, волнует вопрос: не 
используются ли байты команд, кроме обозначения самой команды и кода 
регистра, еще для чего-нибудь? 


Обратимся к командам условных переходов. Попытаемся вначале выяснить, 
каким образом кодируются короткие условные переходы, т. е. переходы в 
пределах 256 байтов. Рассмотрим неболышой фрагмент на ассемблере, не 
имеющий никакого практического смысла, но позволяющий нам нащупать 
некоторые интересные закономерности: 


22 ЗАВ 
42 _ТАВ 
в тАв 
МВ _ТАВ 
26 ТАВ 
Л\б _ТАВ 


ТАВ: 


Заглянув в отладчик, мы обнаружим следующую последовательность байтов: 
74 ОА 75 08 72 06 73 04 7Е 02 7Е 00 


Ясно, что на каждую команду отводятся два байта, причем второй байт опре- 
деляет адрес, куда должен быть произведен переход, если выполнится соот- 
ветствующее условие. Легко увидеть, взглянув на код первой и последней 
команды, что это просто смещение (см. рис. 1.8) от конца команды. Так что 
с этим, по крайней мере, на данном этапе, имеется ясность. А вот что собой 
представляют первые байты команды, то здесь стоит разобраться внима- 
тельней. И так, имеем 92 — 011101008, 992 — 011101018, ОВ — 011100108, 
МВ — 011100118, 56 — 011111118, 746 — 011111108. Ну что же, вывод ясен: 
код операции условного перехода — это просто 7он, а четыре младших бита 
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определяют условие. Причем очевидно, что самый младший бит определяет, 
как говорят, инвертирование: для 527 бит равен 0, для л47 — 1 ит. д. Причем 
соблюдается и некоторая интуитивная логика: "равно нулю" — бит равен 
нулю, "больше" — бит равен единице. Биты же с | по 3 определяют само 
условие. Поскольку три бита могут задать восемь возможных значений, мы 
можем на основании табл. 1.10 и наших последних результатов составить 
табл. 1.26. 


Таблица 1.26. Коды условных переходов 


Команда Код 
ЗВ/ОМАЕ/ОС 001 
ЗВЕ/ОМА 011 
9Е/92 010 
ИОМСЕ 110 
ЗЪЕ/ОМС 111 
Ге) 000 
УР/ЗРЕ 101 
95 100 


Конечно, у читателя может возникнуть вопрос об условных переходах, где 
адресом является смещение в 32-битном сегменте. Чтобы исследовать эту 
проблему, можно несколько видоизменить рассмотренный ранее фрагмент: 


32 ЗАВ 
ЛХ _ТАВ 
в тв 
МВ _ТАВ 
926 ТАВ 
ЛС ТАВ 


ОВ 1000Н ПОР(О) 
ТАВ: 


Вставляя после команды сяв блок данных, мы, таким образом, просто за- 
ставляем ассемблер генерировать переходы с 32-битным смещением. Что же 
получится в результате? 

ОЕ 84 1Е 10 00 00 

ОЕ 85 18 10 00 00 

ОЕ 82 12 10 00 00 

ОЕ 83 0С 10 00 00 
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ОЕ 8Е 06 10 00 00 
ОЕ 8Е 00 10 00 00 


Мы записали результат в виде таблицы, где каждая строка соответствует 
своей команде. Как видим, код команды теперь состоит из двух байтов. 
Причем первым байтом везде указано значение окн. Структура же второго 
байта, по сути, уже нам знакома. Код операции вон, а далее код условия и 
бит инвертирования. А вот адрес, на первый взгляд, странный какой-то. 
Господи, как же мы забыли, что адрес (точнее смещение), это, в сущности 
обычное 32-битное число, и для него должен использоваться стандартный 
принцип: старший байт в слове имеет старший адрес и старшее слово долж- 
но иметь старший адрес. В результате мы получим, что 1Е 10 00 00 — это 
просто 00 00 10 1Е, но это как раз в точности расстояние в байтах между 
командами 42 _тАВ И ВЕТ. Та же ситуация получается и для других команд 
условных переходов. 


1.4.3. Байт МОБ В/М 


Рассмотрим простую, на первый взгляд, операцию: моу ЕАХ,ЕВХ. Код этой 
операции состоит из двух байтов: вв сз. Поскольку вариантов пересылок меж- 
ду различными регистрами очень много, то логично было бы считать, что в 
данном коде зашифрованы оба регистра: кАХ и евх. Разумно также предполо- 
жить, что это сделано во втором байте, а первый — это код операции. Итак, 
сз в двоичном представлении — это 11000011. Чтобы можно было проводить 
сравнительный анализ, рассмотрим команду МОУ ЕВХ,ЕАХ. Код этой команды: 
8в 08. Кстати, наше предположение, что первый байт представляет собой код 
операции, по-видимому, подтверждается. Но р8н — это 110110008. Сравним 
данный байт с двоичным представлением сз. Ну, конечно, байты отличаются 
друг от друга перестановкой троек битов: 0008 и 011в. Но это же коды регист- 
ров ЕАХ И ЕВХ, о которых мы говорили в предыдущем разделе. Вот здорово, 
мы почти разгадали код команды моу, в которой участвуют два 32-битных 
регистра. Мы с вами столкнулись со структурой байта мор в/м (см. рис. 1.8), 
который мы сейчас разберем более подробно. 


Итак, байт мор в/м имеет три следующих поля (см. рис. 1.4): 


С поле мор; данное поле вместе с полем в/м образует 32 возможных значе- 
ния: 8 регистров и 24 режима индексирования. В приведенном ранее 
примере поле имело значение 11 и определяло, что поле в/м будет пред- 
ставлять код регистра; 


О поле вЕС/коп; данное поле обозначает либо код регистра, либо три до- 
полнительные бита кода операции; 


С поле в/м; может определять регистр, как местоположение операнда или 
служить частью кодирования режима адресации совместно с полем мор. 
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Возникает законный вопрос, а чем будет отличаться операция МОУ ЕАХ,ЕВХ 
от операции моу Ах, вх? Наверное, вы уже догадались. В последней команде 
появится впереди (префикс) дополнительный байт — в6н, с которым мы 
уже сталкивались. 


Ну, а как быть с командами моу, где участвуют 8-битные регистры? По- 
скольку трех битовых кодов на всех не хватит, то логично предположить, 
что должен измениться код самой команды. Так в действительности и есть. 
Например, команда моу въ, Аь будет кодироваться двумя байтами: зА 08. 
Заметим, что 8-битных регистров также 8, а, следовательно, они могу быть 
закодированы с помощью тех же трех битов: 


О Аг — 000в; 
О вь — 011в; 
О сь — 001в; 
О 01 — 0108; 
О Ан — 1008; 
О вн — 1118; 
О сн — 1018; 
О он — 1108. 


Теперь мы без труда обнаружим в байте розн регистры вь и д1.. Кстати, мож- 
но предположить, что команда моу, в которой участвуют один регистр и 
один непосредственный операнд, должна обойтись без байта мор в/м. Дей- 
ствительно, ведь кодировать необходимо всего один операнд. Так и есть, 
например, код команды моу ЕВх, 1234н будет равен вв 34120000, а команды 
МОУ ЕСХх,1234н будет в9 34120000. Легко видеть (попробуйте разобраться 
сами), что кодом команды будет число взн, а первые три бита станут опре- 
делять регистр, куда будет помещен непосредственный операнд. Однако вы 
удивитесь, когда рассмотрите команду МОУ ЕАх,1234н. Код команды будет 
равен в8 34120000. Разработчики, таким образом, учли, что команда пере- 
сылки данных в регистр ЕАХ (аккумулятор) будет производиться чаще, чем в 
другие регистры, и сделали эту команду короче. 


Рассмотрим следующий фрагмент. 


МОУ ЕАХ, РАТА1 
МОУ ЕВХ, РАТА1 
МОУ ЕСХ, РАТА1 
МОУ ЕШХ, РАТА1 
МОУ ЕШТ, РАТА1 
МОУ ЕЗТ, РАТА1 
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Здесь РАТА!1 — это некоторая 32-битная переменная. Дизассемблировав 
фрагмент, получим: 


А1 00104000 
8в1р 00104000 
8вор 00104000 
8в15 00104000 
8В3р 00104000 
8835 00104000 


Легко заметить, что и здесь регистр ЕАх выбивается из общего ряда. Для 
команды пересылки данных из памяти в регистр имеется собственный код. 
Что касается остальных команд, то мы видим, что здесь присутствует байт 
мор в/м. Переведя шестнадцатеричный код в двоичный, получим, что поле 
мор во всех командах равно нулю (008), поле вЕС кодирует регистр, а поле 
в/м равно 101в. Логично предположить, что поля мор и в/м определяют не- 
который режим адресации, одинаковый для представленных команд, кроме 
той, где используется регистр ЕАх. Так оно и есть, данный режим предпо- 
лагает, что эффективный адрес определяется только одним числом — сме- 
щением в 32-битном регистре. Кстати, что произойдет, если в вышепред- 
ставленных командах поменять местами операнды? Правильно! Изменится 
только код команды. Все остальное не должно меняться, т. к. не изменился 
ни способ адресации, ни используемый в команде регистр. 


Рассмотрим команду моу [ЕВХ],ЕСХ. Как видим, в данной команде исполь- 
зуется косвенная адресация с помощью регистра Евх. Код подобных опера- 
ции в такой команде — вэн. Байт же мор в/м содержит информацию о реги- 
страх и способе адресации — ов. Легко видеть, что поле мор содержит оо, 
а поля ВЕС и в/м — коды регистров ЕСХ и ЕВХх соответственно. Несколько 
усложним задачу. Рассмотрим команду моу [Евх+10],ЕСх. Дизассемблер 
дает для данной команды последовательность байтов: 89 4в од. Как видим, 
код команды остался тем же. Последний байт, очевидно, является смещени- 
ем. А вот структура байта мор в/м имеет следующий вид: 01001011в. В ре- 
зультате, по сравнению с командой моу [ЕВХ],ЕСХ изменилось только поле 
мор, а это и понятно — изменилась адресация. Я думаю, читатель теперь 
вполне готов принять табл. 1.27, объясняющую использование байта мор в/м. 


Таблица 1.27. Структура байта мор в/м в 32-битной адресации 








Эффективный адрес Значение поля мор Значение поля в/м 
[ЕАХ] 00 000 
[ЕВХ] 00 011 


[ЕСХ] 00 001 





Таблица 1.27 (окончание) 


Эффективный адрес Значение поля мор Значение поля в/М 
[ЕОХ] 00 010 
[ЕЗТ] 00 110 
[ЕОТ] 00 111 
Смещ32 00 101 
[...] 00 100 
Смещ8(ЕАхХ] 01 000 
Смещ8[Евх] 01 011 
Смещ8[Есх] 01 001 
Смещ8(Еох] 01 010 
Смещ8(Езт] 01 110 
Смещ8(Е рт] 01 111 
Смещ8(ЕВР] 01 101 
Смещ8(...] 01 100 
Смещ32[ЕАх] 10 000 
Смещ32[Евх] 10 011 
Смещз32[ЕСХ] 10 001 
СмещзЗ2[Еох] 10 010 
Смещ32[Ез т] 10 110 
Смещ32[Ерт] 10 111 
Смещ32[ЕВР] 10 101 
Смещ32|...] 10 100 
ЕАХ/АХ/АТ, 11 000 
ЕВХ/ВХ/ВТ, 11 011 
ЕСХ/СХ/СТ, 11 001 
ЕБХ/ОХ/ОТ, 11 010 
ЕЗР/ЗР/АН 11 100 
ЕВР/ВР/СН 11 101 
ЕЗТ/ЗТ/ОН 11 110 
ЕОТ/ОТ/ВН 11 111 


———————————ы—ы—ы—о———ю——ю»—_—»—о»—“—=—_—=—ы—ы—ю—ы—ы—ыю—ю—ы—ы———Ш—Ш——щ 
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“ Примечание а 


В табл. 1.27 "Смещ8" означает однобайтовое смещение, "Смещ32" — четырех- 
байтовое смещение, строка [...] означает, что при данном значении полей мор и 
В/М за байтом Мор В/М последует байт $тв. 


Взгляните на табл. 1.27. Как видим, байт мор в/м не позволяет определять 
такое важное свойство косвенной адресации, как масштабный коэффици- 
ент. Для этого служит другой байт ств. О его наличии можно судить по зна- 
чению поля в/м, равному 1008. 


1.4.4. Байт $!В 


Наконец мы добрались и до байта зтв. Название этого байта происходит 
от трех английских слов: 5са|!е — масштаб, п4ех — индекс, Базе — база. 
Соответственного три поля под таким названием содержат данный байт 
(см. рис. 1.8): 


С биты 7—6, поле зса1е, задают масштабный коэффициент; 
С биты 5—3, поле тпаех, задают регистр — индекс; 

С биты 2—0 определяют регистр, являющийся базовым (Вазе). 
Рассмотрим следующий фрагмент на языке ассемблера: 

МОМ [ЕАХ*4] [ЕВХ+5], ЕАХ 

МОУ [ЕВХ*4] [ЕАХ+5], ЕАХ 


МОУ [ЕСХ*8] [ЕБХ+5]‚ ЕАХ 
МОУ [ЕШХ*8] [ЕСХ+5], ЕАХ 


А вот байты, последовательно представляющие данные команды: 


89 44 83 05 
89 44 98 05 
89 44 СА 05 
89 44 71 05 


Очевидно, что код операции во всех случаях равен 89эн. Шестнадцатеричное 
число 44н является не чем иным, как байтом мор в/м. Представим его в 
двоичном виде. Итак, 44н = 010001008. Как видим, поле мор = 01. Это оз- 
начает, что в команде должно присутствовать смещение. Так оно и есть, 
смещение равно 5, и байт, представляющий смещение, идет самым послед- 
ним. Поле вс равно 0о0в, что как раз означает, что данные пересылаются 
из регистра ЕАХ. А вот поле в/м равно 1008 и это то самое исключение (см. 
табл. 1.27), которое говорит нам, что далее должен идти байт зтв. Заметим 
кстати, что все представленные команды отличаются как раз этим байтом. 


дэ... 1108 
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Начнем с первой команды. Имеем взн = 10000011в. Поле $са1ле, равное 
10в, задает масштабный коэффициент, и об этом будет сказано позднее. 
Поле тпадех равно 0ооо0в, это индексный регистр, и очевидно, что он равен 
ЕАХ. Регистр ЕАХ действительно используется для формирования результи- 
рующего адреса. Поле вазе равно 011вВ и определяет базовый регистр, кото- 
рый, очевидно, равен регистру Евх. По-моему, здесь все ясно, и есть смысл 
рассмотреть общую картину использования байта зтв (табл. 1.28). 


Таблица 1.28. Структура байта 5тВ 








Масштабирующий индекс Поле $са1е Поле тпаех 
[ЕАХ} 00 000 
[ЕВХ] 00 011 
[ЕСХ] 00 001 
[ЕБХ] 00 010 
[ЕВЕ] 00 101 
[Е$5Т} 00 110 
[ЕОТ] 00 111 
Не используется 00 100 
([ЕАХ*2] 01 000 
[ЕВХ*2] 01 011 
[ЕСХ*2] 01 001 
[ЕБХ*2] 01 010 
[ЕВР*2] 01 101 
[Е$Т*2] 01 110 
[ЕОТ*2] 01 111 
Не используется 01 100 
[ЕАХ*4] 10 000 
[ЕВХ*4] 10 011 
[ЕСХ*4] 10 001 
[ЕДХ* 4] 10 010 
([ЕВР*4] 10 101 
[Е5т*4)] 10 110 
[ЕБТ*4] 10 111 


Не используется 10 100 
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Таблица 1.28 (окончание) 








Масштабирующий индекс Поле $са1е Поле Тпаех 
[ЕАХ*8) 11 000 
[ЕВХ*8] 11 011 
[ЕСХ*8] 11 001 
[ЕОХ* 8] 11 010 
[ЕВР*8] 11 101 
[Е5Т*8] 11 110 
[ЕОТ*8] 11 111 
Не используется 11 _ 100 


Теперь, наверное, вам более ясно различие между командами моу 
(ЕАХ*8] [ЕВХ+10],ЕСХ И МОУ [ЕАХ] [ЕВХ*8+10] ‚ЕСХ. В первой команде масшта- 
бирующий индекс представлен регистром ЕАх, а во втором случае — регист- 
ром Евх, а соответственно с базой — все наоборот. Понятна также чисто тех- 
ническая невозможность и такой команды: моу [ЕАх*4][ЕВХ*2],ЕАХ. 


1.4.5. Маленький пример ручного 
дизассемблирования 


Теперь мы, умудренные опытом, можем попытаться дизассемблировать код, 
представленный на рис. 1.7. Код 55н обозначает команду РОЗН ЕВР. Это лег- 
ко понять, вспомнив, что Код команды Розн равен он, а код регистра ЕВР 
равен 5 (101в). Далее идет код врн. Ясно, что это не префикс, т. к. коды 
префиксов нам известны. В принципе за дополнительной информацией 
можно обратиться к справочнику или набрать команду в отладчике. Оказы- 
вается, это код команды тЕА. Поскольку сама команда должна иметь два 
операнда, то, очевидно, что у команды должен быть байт мор в/м. Следую- 
щим у нас идет байт Есн. Представим его в двоичном виде. Имеем 
ЕСН = 111011008. Если все правильно, то первые два бита определяют реги- 
стровую адресацию — данные помещаются непосредственно в регистр (см. 
табл. 1.27). Тогда следующие три бита (вЕС) определяют регистр, куда будут 
помещаться данные, а последние биты — регистр, откуда данные будут по- 
лучены. Этим источником оказывается регистр ЕЗР (код 1008). "Да, — ска- 
жете вы, — но ведь команда тЕА чаще используется для получения адреса 
некоторой переменной! Как в этом случае будет выглядеть код команды?" 
Здесь все в действительности очень просто. Допустим, имеем следующую 
команду: тЕА ЕВР,РАТА1. Результатом дизассемблирования будет последова- 
тельность байтов: 8р 2р 00 10 40 00. Ясно, что последние четыре байта — 
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это просто адрес переменной. А вот что собой представляет байт мор в/м? 
Это 29н = 00101101в. Обратите внимание на последние три бита и посмот- 
рите в табл. 1.27 (при мор = 00). Это число 101в, которое означает, что эф- 
фективным адресом будет смещение в сегменте, т. е. явный адрес перемен- 
ной. Отсюда понятно, что за вторым байтом следует искать смещение. 


Но вернемся к рис. 1.7. Следующий байт равен 5зн. И мы легко определяем, 
что имеем дело с командой РОЗН ЕВХ (3 = 011В — ЭТО код ЕВХ). Далее имеем 
с7н. Это код команды мо\у, в которой получателем является регистр или 
ячейка памяти (тип риово), а источником — непосредственный операнд. 
Следующий, очевидно, должен являться байтом мор в/м. Этот байт равен 
о5Н = 00000101в. Отсюда можно сделать вывод, что непосредственный опе- 
ранд засылается в ячейку памяти. Далее четыре байта должны представлять 
адрес ячейки. Вот они: р0 86 40 00, и мы легко определяем, что адрес ячей- 
ки это просто 004086рон. И, наконец, последний байт этой команды — 32н. 
Таким образом, можно сказать, что нам удалось расшифровать команду моу 
РИОВО РТВ [004086р00н], 32. "Почему риовро?" — спросите вы. Да потому, что 
команда с7н. Если нужно было использовать команду МОУ ВУТЕ РТВ 
[00408620Н], 32, то следовало бы использовать код сен. Итак, вот команды, 
которые нам удалось расшифровать: 


РОЗН ЕВР 

ТЕА ЕВР, ЕЗР 

РОЗН ЕВХ 

МОУ РМОВО РТВ [4086р0Н], 32 


Не правда ли занятие утомительное, но после того, что мы узнали в данном 
разделе — достаточно простое. 


Оказывается, некоторые команды микропроцессора могут быть представле- 
ны, по крайней мере, двумя различными наборами кодов. Типичный при- 
мер: команду мо\У ЕВхХ, зан транслятор МАЗМЗ2 транслирует в следующую 
последовательность кодов: вв 34 00 00 00. При этом код регистра Евх за- 
шифрован в трех первых битах байта кода команды (0118). Но есть и другая 
возможность закодировать эту же команду с более общих позиций, исполь- 
зуя байт мор в/м. В этом представлении команда будет выражаться следую- 
щими байтами: с7 сз 34 00 00 00. Как видим, второе представление коман- 
ды оказалось на один байт длиннее. 


1.4.6. О некоторых проблемах 
дизассемблирования 
Мы очень часто повторяем, что язык ассемблера — это практически то же 


самое, что машинный язык. Отсюда, казалось бы, можно было сделать вы- 
вод, что по машинному коду можно однозначно восстановить ассемблерный 
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текст программы. Но оказывается, не все так просто. Есть некоторые про- 
блемы, о которых я сейчас расскажу. 


Первая проблема касается восстановления структуры данных. Единственная 
возможность определить структуру данных — проанализировать, как эти 
данные используются в командах. И вот здесь возникает проблема. Дело в 
том, что обратиться к данным можно по-разному. Например, легко дизас- 
семблируемая команда типа моу риовр РТВ [408620н]},32 показывает, что 
по адресу 4086рон расположено некоторое данное (переменная). Это прямая 
адресация, и здесь все очень просто. А что вы скажете о команде моу 
БАХ, [ЕВХ]? Чтобы узнать, что находится в регистре Евх, необходим анализ 
текста программы. Хорошо, если данной команде предшествует, скажем, 
такая последовательность 


МОУ ЕАХ, 4176 АОН 
АРО ЕАХ, 8 
МОУ ЕВХ,ЕАХ 


из которой становится ясно, что по адресу 4176А8н расположена некоторая 
32-битная переменная. Но очень часто реальный адрес формируется на рас- 
стоянии сотен команд от команды, где он используется, посредством до- 
вольно сложных манипуляций. В таком случае определить этот адрес можно 
только при пошаговом выполнении программы, т. е. с помошью механизмов 
отладки. 


Часто бывает недостаточно получить адрес переменной, нужно знать ее раз- 
мер. Если перед нами, например, массив, то определить, сколько элементов 
в нем, бывает очень непросто. Даже знание адреса следующей переменной 
не всегда помогает, ведь между переменными могут быть байты выравнива- 
НИЯ. 


Данная проблема усугубляется также и наличием двух разных команд, с по- 
мощью которых можно получить адрес какого-либо объекта памяти. Тради- 
ционно команда тЕА была предназначена для получения адреса переменной: 
ТЕА ЕАХ, а1. Например, встретив такую последовательность байтов, как 8р 
05 08 10 40 00, мы без труда определим, что в регистр ЕАХ засылается адрес, 
равный 401008н (8рн — код команды ьЕА, 05н — байт мор в/м, и подобный 
анализ мы уже проводили неоднократно). Но в языке ассемблера имеется и 
еше одна команда: моу гед32, оЕЁзек уаг. Ключевое слово оЕЕзетх заставля- 
ет ассемблер подставлять в команду не значение переменной, а ее адрес. 
Таким образом, понять сразу, без анализа кода, иногда очень серьезного 
анализа, что это непосредственный операнд или адрес, бывает очень затруд- 
нительно. 


Другая проблема связана с определением адресов переходов и адресов про- 
цедур. Дело в том, что переход на процедуру может осуществляться не толь- 
ко с помощью команды саЪь, но и с помошью команды омР и даже с помо- 
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щью команды вЕТ. Вот программа, демонстрирующая четыре способа вызо- 
ва процедуры. Причем три последних способа вызова процедуры могут при- 
вести к серьезным затруднениям, которые в определенной ситуации не 
позволят выяснить, что данный участок представляет собой именно вызы- 
ваемую откуда-то процедуру. 


В листинге 1.11 я привожу программу, в которой используются четыре спо- 
соба вызова процедуры. 





. 586Р 
.МОБЕЪ ЕТАТ, ЗТОСАЪЬ 
ТЕХТ ЗЕСМЕМТ 
ЗТАВТ: 
явный ВЫЗОВ 
САБ РВ1 
ТЕА ЕАХ,РВ1 
;косвенный вызов 
САТТ, ЕАХ 
РОЗН ОЕЕЗЕТ 11 
; адрес возврата в стеке 
ЭЗМР ЕАХ 
1: 
РОЗН ОРГЕЗЕТ 12 
РОЗН ЕАХ 
; теперь на вершине стека как раз адрес процедуры, 
;а следующим в стеке лежит адрес возврата из процедуры 
ВЕТМ ;вызов при помощи ВЕТ 
2: 
ВЕТМ 
РВ1 РКОС 
ВЕТМ 
РВ ЕМОР 
ТЕХТ ЕМО5 
ЕМО ЗТАВТ 


И, разумеется, важнейшей проблемой является нахождение правильно- 
го адреса, с которого начинается блок команд. В конце концов, если про- 
цедуру не удалось идентифицировать при помощи лерекрестных ссылок, то, 
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может быть, хотя бы удастся правильно декодировать блок, где располага- 
ются процедуры. Но, увы, и это не всегда просто сделать, во всяком слу- 
чае, программным путем. Ведь не ясно, где начинается блок процедур. Но 
предположим, что вам удалось найти первую процедуру, к которой имеет- 
ся явное обращение. Вы сумели найти и ее конец. Но это, к сожалению, 
еще не факт, что сразу же за ней расположена следующая процедура. Дело 
в том, что между процедурами может находиться произвольное количество 
"пустых" команд, которые может в МА$МЗ2, например, вставить директи- 
ва АБТСМ. 


Впрочем, о распознавании данных, процедур и других программных струк- 
тур мы будем подробно говорить в главе 3. 


1.4.7. О командах арифметического сопроцессора 


У читателей, наверное, возникает вопрос об арифметическом сопроцессо- 
ре. Есть ли принципиальное отличие в командах сопроцессора от обычных 
команд процессора ие] Репиип1? Сразу отвечу: принципиальных отличий 
нет. Но есть свои особенности. Минимальная длина команды сопроцессо- 
ра составляет два байта. Первый байт команды, который ранее мы называ- 
ли кодом операции, и который таковым уже не является (см. далее), все- 
гда имеет пять старших битов равными 11011в, Т.е. старший полубайт 
первого байта команды сопроцессора всегда равен рн. Это позволяет до- 
вольно легко идентифицировать команду сопроцессора среди последова- 
тельности байтов памяти. 


Кроме первого байта в команде присутствует байт мор в/м, а также, воз- 
можно, операнд, указывающий на память, откуда берется или куда поме- 
щается операнд. Рассмотрим команду ЕЪрЬ ОМОВо РТВ [20814000н], поме- 
щающую в стек сопроцессора длинное вещественное число из памяти, на 
которую указывает операнд (адрес). Данная команда представляется сле- 
дующей последовательностью байтов: 0005 20814000. Первый байт в дво- 
ичном представлении имеет следующий вид: 11011101в. Про старшие пять 
битов мы уже сказали. А вот три младших бита для нас, несомненно, ин- 
тересны. Данная команда входит в группу команд сопроцессора, манипу- 
лирующих операндами, находящимися в памяти. Если младший бит байта 
равен |, то команда передает данные в память (из стека сопроцессора) или 
из памяти. Другие команды имеют бит 0. Это могут быть арифметические 
операции или операции сравнения. Байты 2 и | для рассматриваемых 
команд определяют тип формата памяти (Метогу Еогта, МЕ). Имеются 
четыре возможных значения: 


О об — короткое вещественное число (32 бита); 


О о: — короткое целое двоичное число (32 бита); 
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С 10 — длинное вещественное число (64 бита); 
С] 11 — десятибайтовое число (80 битов). 


В нашем случае мы имеем значение 10, т. е. длинное вещественное число. 
Таким образом, можно констатировать, что первый байт кода команды в 
сопроцессоре уже нельзя рассматривать именно как код операции. 


Рассмотрим теперь структуру байта мор в/м: о5н = 00000101в. Таким обра- 
зом, Мор = 008, ВЕС = 0008, В/М = 101в. Глянув на табл. 1.27, мы приходим к 
вполне очевидному факту, что адрес определяется непосредственным сме- 
щением (по значению в/м). Три же средних бита, то, что мы называем вес, 
в действительности оказались кодом операции (вот она где). 


Рассмотрим формат еще одной команды: ЕАБР $Т(1),5$т(0) (см. табл. 1.21). 
По этой команде происходит сложение операндов, хранящихся в $т(0) и 
$Т(1), и результат помещается в регистр $т(1). Код команды равен ос с1. 
В двоичном представлении это будет 11011100 11000001. Рассмотрим внача- 
ле первый байт. Нулевой бит равен 0 и в арифметических операциях и опе- 
рациях сравнения, где участвуют регистры сопроцессора, является частью 
кода операции. Значение бита за номером | определяет, производится ли 
после операции извлечение из стека (1) или не производится. В данной ко- 
манде извлечение из стека не производится. Бит за номером 2 показывает, 
возвращается ли результат в вершину стека (0) или в какой-либо другой 
регистр (1). В нашем случае результат возвращается в регистр эт (1). Перей- 
дем ко второму байту. Поле мор равно 11в, и, значит, операция производит- 
ся с операндами, находящимися в регистрах. Поле в/м равно 001в и опреде- 
ляет второй регистр, участвующий в операции ($т(1)), первым регистром 
всегда является регистр $т(0). Наконец, код рассмотренной нами операции 
оказывается состоящим из четырех нулей: 00008. 


Продолжим рассмотрение форматов команд сопроцессора и обратимся к 
команде Егзовт — извлечение квадратного корня из операнда, находящего- 
ся в вершине стека. Для команд, подобных этой (а к ним относятся кроме 
вычислений трансцендентных функций, загрузка некоторых констант, а 
также некоторые дополнительные арифметические операции), характерно 
использование только одного стекового регистра — $т(0). Код данной 
операции равен р9 кА или в двоичном виде 11011001 11111010. Для такой 
операции неизменными являются все биты, кроме первых четырех второго 
байта операции (10108), которые и определяют, собственно, какая опера- 
ция производится. 


Наконец еще имеется один тип операций, осуществляющих управление со- 
процессором. Эти операции не работают ни с какими операндами. Приме- 
ром такой операции может служить операция Етмтт (см. табл. 1.23), которая 
осуществляет начальную инициализацию сопроцессора. Код этой операции 
равен рв ЕЗ или в двоичном виде это будет 11011011 11100011. У этих опе- 
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раций, как и в предыдущем случае, значимыми являются только четыре 
первых бита второго байта, определяющие, какая операция производится. 


На этом мы заканчиваем рассмотрение форматов команд микропроцессора 
[ие Репиитл. 


1.5. Описание структуры 
исполняемого модуля (РЕ-модуль) 


Задача данного раздела — познакомить читателей со структурой исполняе- 
мого модуля (ехе-модуля). Мы исследуем исполняемые модули и, значит, 
должны знать их структуру. Это важно еще и потому, что, в действительно- 
сти, такой структурой обладают не только ехе-модули, но и динамические 
библиотеки, объектные модули и драйверы. 


1.5.1. Общий подход 


Сокращение РЕ расшифровывается как Роцае ЕхесшаЫе, т.е. дословно 
"переносимый исполняемый". Данный формат пришел из МХ, где аналогич- 
ный формат называется СОЕРЕ-форматом (Соттоп ОесЕ Ейе Еогтаф, стан- 
дартный формат объектных файлов). Впрочем, фирмой М!сгозой он был 
значительно переработан и теперь используется ею повсеместно. Как уже 
было сказано, данный формат применяется не только для обычных испол- 
няемых модулей (ехе-модулей), но также и для динамических библиотек 
(4И-модулей), а также для драйверов режима ядра. Самое интересное заклю- 
чается в том, что стандарт РЕ распространяется и на объектные файлы (об]}- 
файлы). Наша с вами задача, дорогие читатели, — попытаться охватить РЕ- 
формат так, чтобы не только понимать его структуру, но и при необходимо- 
сти использовать свои знания на практике. 


Главной особенностью РЕ-модуля является простота его загрузки в память. 
Не требуется никакой дополнительной настройки. По сути, модуль содер- 
жит слепок участка оперативной памяти. 


На рис. 1.9 изображена общая схема РЕ-формата исполняемого модуля. Об- 
ращает на себя внимание самый первый раздел (на рисунке он изображен 
сверху). Здесь разработчики отдали дань совместимости с операционной 
системой М$-РО$. Данный раздел в настоящее время уже не имеет ника- 
кого значения. Однако чтобы понять, как это все работает, начнем именно с 
него. Итак, исполняемый модуль начинается именно с ООЗ-раздела, кото- 
рый необходим на тот случай, если программу будут запускать в операцион- 
ной системе М$-0О$. Два первых байта (М7) — это сигнатура, которая 
подтверждает, что перед нами исполняемый модуль операционной системы 
М$-020$. Сокращение М7, — это инициалы сотрудника фирмы М!сгозой 
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Марка Збиковски (Магк ХЫКо\зсК!), разработчика структуры исполняемых 
модулей в операционной системе М$5-ОО$. Итак, если запустить РЕ- 
программу в операционной системе М$-РО$, то загрузчик этой системы по 
сигнатуре будет считать, что перед ним обычная программа М$-РО$, и за- 
пустит ее обычным способом. В сущности, так и есть: после сигнатуры М7 
в РЕ-модуле идет стандартный заголовок М$-2ОО5$, а далее — маленькая 
программа, заглушка, которая обычно выводит на текстовый экран сообще- 
ние, что данная программа не может выполняться в М5-ОО$ ("Т№5 ргоггат 
саппо Ъе ги ш ОО$ тоде”), и заканчивает свою работу. Стандартная про- 
грамма-заглушка, ее называют 516, приведена в листинге 1.12. 





Сигнатура 00$ = М2 


ехе-заголовок М$-00$ 






УЗАУЗН`ЗОд“ЗЭМИиИ 







е_{апеми 


ОО5$-программа (${и6) 






Сигнатура МТ = РЕ 








1МАСЕ_МТ_НЕАОЕК$ 


Секция М 


Отладочная информация 


Рис. 1.9. Структура РЕ-файла 
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РОЗН С$ 

;регистр данных совпадает с регистром кода 
РОР 05 

МОУ ОХ, ОГЕЗЕТ М5С 

МОУ АН, 9 

;вывод текстовой строки М$С 

ТМТ 21Н 

МОУ АХ, 4С01Н 

;выход из программы с кодом 1 

ТМТ 21Н 


М5С ОВ 'ТВ1$ ргодгам саппоЕ Бе гоп 1п 005$ поае $' 


Конечно, программа может быть и другой!0, но какая нам разница, если 
чистой М5-РО$З уже и не найти и, следовательно, заглушка уже никогда не 
получит управление? Удобнее всего разбирать М7-заголовок, обратившись к 
структуре, которую можно найти в заголовочном файле \УИММТ.НИ. Вот эта 
структура (листинг 1.13). 


вы 





згисЕ ТМАСЕ 005 НЕАОЕВ { // 20$ „.ЕХЕ Веааег 
ИОВР —е пад1с; // Мад1с пипфег 
ИОВр е с]; // Вуфез оп 1азЕ раде оЕЁ Ё11е 
ИОВР е ср; // Радез 1п ЕЁ11е 
МОВР е стс; // Ве1оса®1опз 
ИОВРр е срагВаг; // 312е оЁ Неааег 1п ракадгарй$ 
ИОВр е м1па11ос; // Мапиом ехёга рахадгарЮ$ пееаеа 
МОВО е маха11ос; // Мах1мим ехеёга рахаагаррз пеедеа 
ИОВ е $55; // 10161а1 (хе]аё1уе) $$ уа1ае 
ИОВР е зр; // Тп11а1 $Р уа1ае 
ИОВР е сз; // Снескзим 
ИОВр е 19; // Тп1Е1а1 ТР уа1ае 
ИОВР е с5; // Тп11а1 (хе1а®1уе) С$ уа1ще 


1 Был период, когда создатели компьютерных вирусов использовали программу- 
заглушку для активизации вредоносного кода. 

И Все структуры, используемые в РЕ-заголовке, мы будем брать именно из заголо- 
вочных файлов. 
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МОВО е 1Ёаг1с; // Е1\1е ааагезз оЕ ге1осае1оп фаБ1е 
ИОВр е о\по; // Оуег1ау попег 

МОВР е гез[4]; // Везегуеа мог4$ 

ИОВРр е оеп1а; // ОЕМ 14епё1Е1ехк (ЁЕог е оеп1пЕо) 
ИОКР —е оетм1пЕо; // ОЕМ 1пЕогтае1оп; е оет1А зрес1ЁЕ1с 
МОВР е гез2[10]; // Везегуеа мог4з 

ТОМС е 1Еапем; // Е11е аадгезз оЁ пем ехе пеадег 


Нас не будут интересовать поля данной структуры, кроме трех. Собственно 
с ПОЛем е мад1с мы уже знакомы. Это просто сигнатура М7. Поле е_1Еак1с 
(смещение 18н от начала файла) изначально было предназначено, чтобы 
хранить адрес таблицы размещения. Таблица размещения использовалась 
загрузчиком М$-ОО$ для того, чтобы настроить относительные адреса, ис- 
пользуемые в программе. Но вот, оказывается, если это поле содержит байт 
4он, то это означает, что перед нами как раз РЕ-модуль!2. Впрочем, судя по 
всему, \п4о\5 не проверяет содержимое этого поля, а раз так, считать, что 
значение 40н является достоверным признаком того, что перед нами РЕ- 
модуль, наверное, все-таки, не стоит. Наконец, поле е_1Еапем содержит от- 
носительный адрес (смещение относительно начала файла), откуда начина- 
ется РЕ-заголовок (см. рис. 1.9). По этому адресу должна находиться уже 
сигнатура РЕ-модуля, соответственно буквы РиЕ. 


В листинге 1.14 представлена простая программа, с помошью которой мож- 
но определить, является данный файл загружаемым РЕ-модулем или нет. 
Имя проверяемого модуля следует указать в командной строке. 


Со структурой ТМАСЕ_120$_НЕАБЕВ мы уже знакомы, структуру ТМАСЕ_МТ_НЕАРЕВ$, 
которая представляет РЕ-заголовок, мы рассмотрим в следующих разделах. 
Данная структура определена в заголовочном файле уипао\мз.Н, соответст- 
венно константы ТМАСЕ 00$ 51СМАТОВЕ И ТМАСЕ МТ _5ТСМАТОВЕ, определяю- 
щие сигнатуры МА, (БА4рН) и РЕ (45505), также содержатся в заголовочном 
файле. 





#1пс1оае <м1раом$.В> 
#10с104е <эЕа1о.В> 
НАМОГЕ орепЕ (сваг * )}; 
НАМОГЕ РЁ; 


12 Или МЕ-модуль, который запускался в \УМт4о\5 3.1. Эти программы вы теперь 
редко встретите. 
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ТМАСЕ 20$ НЕАОЕВ 19а; 
ТМАСЕ МТ НЕАРЕВ$ 1м; 
//главная функция 
116 ма1п(1п6 агас, сраг* ага\у|[]) 
{ 
ОМОВО п; 
110Е ег=0; 
ТАВСЕ ТМТЕСЕВ 1; 
//проверка наличия параметров 
1Ё(агас<2) {рг1пЕЁ ("Мо рагамекегз!\п") ;ег=1; до6о _ех1%;}; 
//первый в списке - имя файла 
1Е( (ПЕ=орепЕ (акду[1}) ) ==1МУАЬТР НАМОЬЕ УАГОЕ) 
{ 
резпЕЁ ("Мо Е11е!\п"); 
ег=2; 
Чово _ех1{;}; 
//определим длину файла 
СеЕЕ11е512еЕх (ВЁ, &1); 
//прочитать заголовок 005 
1Е (!ВеааЕ11е (ВЕ, &1а, 512е0Е (1а)} ,‚ &п, МОЬЬ) ) 
{ 
рхг1пЕЁ("Веаа 20$ _НЕАПРЕВ еггог 1!\п"); 
ег=3; 
д0ео ех1{;}; 
1Е (п<5$12еоЕ (1а)) 
{ 
рх1пЕЁ("Веаа 20$ _НЕАШРЕВ еггог 2!\п"); 
ег=4; 
доко _ех1;}; 
//проверить сигнатуру 005$ ('М2') 
1Е(14.е пад1с!=ТМАСЕ 00$ $ТСМАТОВЕ) 
{ 
ре1пЕЕ ("Мо 005$ з1адпабаке!\п"); 
е’=5; 
доЕо _ех1{;} 
рг1пеЕ ("00$ з1апабиаге 1$ ОК!\п"); 
1Е(1а.е 1Еапем>1.ОцааРаг®) 
{ 
реп ЕЁ ("Мо МТ з19пабаге!\п"); 
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ег=6; 
оо ех1Е;}; 
//вначале передвинем указатель 
Зеег11еРо1птег (1Ё,1а.е_1Еапем, МОЬЬ, ЕТЬЕ ВЕСТМ); 
//прочитать заголовок МТ 
1Е (!ВеаЯЕ11е (ПЕ, &1\, $12е0Е (1\) ‚ &п, МОГ.) ) 
{ 
рг1пеЁ("Веаа МТ НЕАРЕК еггог 1!\п"); 
ег=7; 
ЧОЕо _ех1Е;}; 
1Ё (п<512еоЕЁ (1\)) 
{ 
рг1пЕЁ("Веаа МТ НЕАРЕВ егког 2!\п"); 
ех=8; 
ЧоЕо _ех1{;}; 
//проверить сигнатуру МТ ('РЕ’) 
1Е (1и.519пакаге!=ТМАСЕ МТ ЗТСМАТОВЕ) 
{ 
реп Е ("М МТ з1апакиге!\п"); 
ег=9; 
доЕо _ех1е;} 
резпЕЕ ("МТ з1дпабоаге 1$ ОК!\п"); 
//закрыть дескриптор файла 
_ех1е: 
С1озеНапа]1е (ВЕ); 
геЕиуп ег; 
}; 
//функция открывает файл для чтения 
НАМОЪЬЕ орепЁ(сваг * ПЕ) 
{ 
герагп Сгеафег11е (пЕЁ, 
СЕМЕВТС ВЕЛО, 
ЕТТЕ СНАВЕ ИВТТЕ | ЕГЬЕ ЗНАВЕ ВЕАР, 
МОБЬ, 
ОРЕМ_ ЕХТЗТТМС, 
мо, 
мМОЬЬ); 
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Программа из листинга 1.14 не может, разумеется, со 100-процентной га- 
рантией определить, что перед нами правильный РЕ-модуль. Для этого по- 
требовался бы более детальный анализ РЕ-заголовка. 


В приложении представлена программа, которая осуществляет более деталь- 
ный анализ РЕ-заголовка. Она является развитием программы из листин- 
га 1.14. В частности, кроме анализа непосредственно самих заголовков, там 
выводится содержимое секций импорта, экспорта и секции ресурсов. 


1.5.2. Заголовок РЕ 


Обратимся теперь к РЕ-заголовку. Как мы уже выясняли, данный заголовок 
представляется в виде структуры ТМАСЕ_МТ_НЕАРЕВ$ (листинг 1.15). 





5&гасЕ ТМАСЕ МТ НЕАШЕВ$ { 
ОМИОВР 51дпа®аге; 
ТМАСЕ ЕТЬЕ НЕАШРЕВ Е11еНеа4ег; 
ТМАСЕ ОРТТОМАГ НЕАШЕВЗ2 Ор&1опа1Неааег; 


Мы видим, что структура состоит из двух частей — ТМАСЕ_ЕТЬЕ НЕАОЕВ И 
ТМАСЕ ОРТТОМАТ НЕАШРЕВЗ2, не считая поля (сигнатуры) $1дпаеике, равного 
РЕ. Начнем разбирать часть заголовка — ТМАСЕ_ЕТТЕ_НЕАШБЕВ, КОТОрую еще 
называют основным заголовком (листинг 1.16). 





зЕгисе ТМАСЕ ЕТЬЕ НЕАОЕВ ({ 
МОВО Масп1пе; 
МОВО МипрегОЕ5ес® 101$; 
ОМИОВР — Т1пера®ебфапр; 
РИОВО Ро1пфегТобупюо1ТаЬ1е; 
РИОВО МипрегОЕ5утро1$; 
МОВО $12е0Е0Ор&1опа1Неааег; 


МОВО СПВагас®ег1$%1с$; 
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Охарактеризуем кратко поля структуры: 


С масп1пе — тип процессора; для процессоров ие! 180х86 это значение 


014св; 


о<оооо 


С свагаскег1з&1сз — здесь содержатся информационные биты (флаги). 
В частности, 13-й бит определяет, является данный модуль А!-библио- 


МотрегОЕ5есе1опз — Количество секций в РЕ-модуле; 
Т1перахе$Еапр — дата и время создания файла; 
Ро1пхегТобупьо1Таю1е — используется при отладке; обычно равно 0; 
МипрекоЕ$ ущьо1з — используется при отладке; обычно равно 0; 


$12е0ЕОре:опа1Неадег — размер второй части заголовка!3 РЕ (см. далее 
описание тМАСЕ ОРТТОМАЬ НЕАРЕВЗ2); Обычно составляет 224 байта; 


текой (0) или ехе-модулем (1). 


Перейдем теперь ко второй части заголовка РЕ — дополнительному заго- 
ловку (ТМАСЕ ОРТТОМАТ НЕАРЕВЗ2). Поля дополнительного заголовка пред- 


ставлены в листинге 1.17. 





5&гасе ТМАСЕ ОРТТОМАГ НЕАБЕВ { 


МОВО 
ВУТЕ 
ВУТЕ 
РИОВБО 
РИОВО 
РИОВО 
РИОВРО 
РМОВЬО 
РИОВР 
РИОВР 
ОМОВО 
РИОВО 
ИОВ 
ИОВ 
ИОВ 
ИОВ 
ИОВ 


13 Душа как-то не принимает термин "оптиональный заголовок". 


Маа1с; 

Ма]огЬ]1пкегУег51оп; 
М1пог11пкегУег51оп; 
512е0ЕСоае; 
$12е0Е111%1а117е Раса; 
$12е0Е0п111161а11ге Рафа; 
АдагезОЕЕпекуРо1пЕ; 
ВазеОЕСоде; 

ВазеОЕПаха; 

ТпадеВазе; 

ЗесЕ1опА11аптепе; 
Е11еА119пщепс; 

Ма) огОрега1па5узЕет\Уехгз1оп; 
М1погОрега* 1пабузсетУег$1оп; 
Ма) огТмадеУег51оп; 
М]погПпаде\Уетз1оп; 


Ма)ог5иарзузсемУегз1оп; 
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МОВР М1погбоюзузтет\Уег$1оп; 
РИОВР — \М1п32Уег$1опУа1ще; 
РИОВО $12е0ЕТмаде; 

РИОВО $12е0ЕНеааегз$; 

РИОВО Свеск5им; 

МОВО Зирзузеет; 

ИОВО 211СРагас®ег1$%1с$; 
РИОВО $12е0Е5$таскВезегуе; 
ОИОВО $12е0Е5саскСоштуе; 
РИОВО $12е0ЕНеарВезегуе; 
ОМОВО $12е0ЕНеарСоти1 с; 
ОИОВО ТоадетгЕ1ааз; 

РИОВО №отрегОЕВуаАпа$12е5; 


ТМАСЕ РАТА_ОТВЕСТОВУ Рахар1гескогу[ТМАСЕ МОМВЕВОЕГ ОТВЕСТОВУ ЕМТВТЕ$]; 


} 


Дадим пояснения к полям: 


п 


п 


п 


ооо 


Маа1с — определяет основное предназначение данного модуля; в частно- 
сти, для обычного исполняемого файла это поле равно о1овн; 


Ма) ог1.1пкегУегз1оп — старший номер версии компоновщика, создав- 
шего данный файл; 
М1покЬ1пкегУегз1оп — Младший номер версии компоновщика, создав- 
шего данный файл; 


$12е0ЕСо4е — размер в байтах исполняемого кода, содержащегося в файле; 
$12е0Е111%1а112еЯрака — размер секции инициализированных данных; 
$12е0Е01111%1а11геарафа — размер секции неинициализированных данных; 


АадгеззОЕЕПЕкуРо1пе — относительный виртуальный адрес инструкции, с 
которой начинается выполнение программы. Адрес в виртуальном адрес- 
ном пространстве относительно адреса загрузки исполняемого модуля 
будем называть относительным виртуальным адресом (Кеаиуе Упшиа! 
АЧагез$, КУА). Соответственно, если относительный адрес, с которого 
начнет выполняться модуль, будет 1000н, а модуль станет загружаться по 
адресу 400000н (см. поле твадеВазе), То точка, откуда начнется выполне- 
ние, будет находиться по адресу 401000Нн; 


Вазе0ЕСоде — относительный виртуальный адрес первой программной 
секции; 


Вазе0ЕБата — относительный виртуальный адрес, с которого начинается 
первая секция данных; обычно секции данных начинаются сразу за сек- 
циями исполняемого кода; 
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О тпадеВазе — виртуальный адрес (не относительный), с которого будет 
загружен модуль. Если загрузчик будет располагать модуль в памяти, на- 
чиная именно с этого адреса, то ему не потребуется производить допол- 
нительную настройку адресов, и процесс загрузки будет происходить бы- 
стро. Если загрузчику не удастся загрузить модуль по данному адресу, то 
ему придется производить дополнительную настройку адресов. Для ехе- 
модулей это значение обычно равно 400000н; 


С зесе1отА11дртепЕ — значение, определяющее выравнивание секций в 
памяти; все секции в памяти должны начинаться с адреса, кратного дан- 
ной величине; 


О Е: 1еА11дптере — значение, определяющее выравнивание секций в фай- 
ле; все секции в файле должны начинаться с адреса, кратного данной ве- 
личине; 


С ма)огОрега&1па5узЕен\Уегз1оп — старший номер подсистемы \пт32, не- 
обходимый для запуска программы; 


С м:!погорега&1па5узкепУегз1оп — младший номер подсистемы \/1т32, не- 
обходимый для запуска программы; 


О мазокТмадеУегз1от — Пользовательский номер версии, задаваемый при 
компоновке (старшая часть п); для ИпК.ехе ключ имеет вид /уехз1оп: п.м; 


С м:погТмаде\Уегз1оп — Пользовательский номер версии, задаваемый при 
компоновке (младшая часть п); 


С мазог5оюзузкемУегз1оп, М1пог5азузеен\Уегз1оп — старшие и младшие 
номера версий подсистемы; скорее, все поля никак не используются; 


О и:132Уег51опУа1ае — хотя название этого поля вполне осмысленное, во 
многих статьях по вопросам РЕ-заголовков указывается, что его значение 
должно быть 0; 


С 512еоЕТтаде — общий размер образа РЕ (заголовки и секции) в памяти, 
выровненный по 5ес&1опА11дпмеп®; 


С $:2еоЕНеааегз — размер всех заголовков плюс размер таблицы секций; 
С съеск$им — контрольная сумма файла; для ехе-модуля значение равно 0; 


С зоьзузкеи — указывает, для какой из подсистем предназначен данный 
модуль. 0000н — неизвестная подсистема, 0001н — драйвер устройства, 
0002н — УМтао\$ СУТ, 0003н — консольное приложение, 0005н — О5/2, 
0007н — РОЗХ; 


С 011Свакас+ехг1$%1сз — начиная с \УМшао\$ МТ 3.5, данное Поле перестало 
использоваться; 


С 3:12е0Е5%хасКВезегуе — необходимый объем памяти для стека; 
СО 3:12е0Е5хасКкКСопи1е — выделяемый объем памяти для стека; 
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С $12е0ЕНеарВезегуе — необходимый объем памяти для локальной кучи; 
С $12е0ЕНеарСомиз& — выделяемый объем памяти для локальной кучи; 


С тоааегЕ1ачз — начиная с \Итдо\$ МТ 3.5, данное поле перестало ис- 
пользоваться; 


С мольекгоЕВуаАта$12ез — данное поле зарезервировано для будущего рас- 
ширения формата (размер массива, содержащего некоторые структуры); 
обычно равно 10н; 


О ргасаб1гескогу — массив структур (листинг 1.18). Пока значение 
ТМАСЕ_МОМВЕВОГ РТВЕСТОВУ ЕМТЕТЕ$ равно 16. Каждая структура состоит 
из двух элементов по 4 байта. Реально работают первые 12 структур. Пер- 
вый элемент структуры описывает положение данных (относительный 
виртуальный адрес), второй элемент — размер данных. Вот предназначе- 
ние элементов массива: 


» 0 — таблица экспортируемых функций; 

» | — таблица импортируемых функций; 

» 2 — таблица ресурсов; 

е 3 — таблица исключений; 

е 4 — таблица безопасности; 

е 5 — Таблица настройки; 

» 6 — таблица отладки; 

е 7—_ строки описания; 

» 8 — характеристика скорости компьютера, измеряемая в МГР5; 
» 9 — область Т1.$ (Тгеаа [оса! Зкогазе, локальная память цепочки); 
»е |0 — область таблицы конфигурации; 

е || — таблица адресов импорта. 





в 


ЗЕгисе ТМАСЕ РАТА_ОТВЕСТОВУ { 
ОМОВО \1усиа1Адагез$; 
ОМОВО $12е; 


1.5.3. Секции 


Сразу после дополнительного заголовка РЕ располагается таблица секций. 
Для верности можно сравнить значение поля $12е0Е0рк1опа1Неа@ехг (см. 


108 Глава 1 


структуру ТМАСЕ_ЕТЬЕ_НЕАОЕВ) с величиной $51геоЕ (1МАСЕ МТ НЕАРБЕВ$) - 
$12е0Е (1МАСЕ ЕТЬЕ НЕАРОЕВ) -4. После этого спокойно обратиться к следую- 
щему адресу от начала файла е_1Еапем+$12е0Е (1МАСЕ МТ _НЕАРЕВ$). 


Таблица секций состоит из структур по 40 байтов каждая. Количество же 
секций берется из ПОЛЯ МимьехОЕ$есе1опз (см. структуру ТМАСЕ_РТЬЕ_НЕАОБЕВ 
из листинга 1.16), так что получить список секций не составляет никакого 
труда. В листинге 1.19 представлена структура, из которых состоит таблица 
секций. 





зсгисе ТМАСЕ ЗЕСТТОМ_НЕАБЕВ { 
ВУТЕ Мате [ТМАСЕ_$Т12ЕОЕ ЗНОВТ_ МАМЕ]; 


аптоп { 
РИОВО РВуз1са1Адагезз; 
РИОВО У1тЕца1$12е; 
} М15с; 
ОИОВО У1гЕна1Адагез5; 
РИОВО $12е0ЕВамрафа; 
РИОВО Ро1псегТоВамПака; 
РИОВО Ро1птегТове1оса® 101$; 
ОИОВО Ро1псегТоЬ1пеполфет$; 
МОВО №иирекОЕВе1оса*1оп$; 
МОВО №оре ОЕ 1 пепапрег$; 
РУЮВО Срагасфег1$%1с$; 


Разберем поля данной структуры: 


С мае — имя секции. Значение ТМАСЕ_ $Т2ЕОЕ $НОВТ_МАМЕ равно 8. Если 
число символов в имени меньше 8, то оставшиеся байты заполняются 


нулевыми значениями; 

СО у: г60а1$12е — требуемый для секции размер памяти; 

С у; сеоа1Ааагезз — относительный виртуальный адрес, по которому за- 
грузчик должен загрузить секцию; 


С $17еОВамБае — размер секции, выровненный в большую сторону соглас- 
но значению поля Е11еА11дпщепе (см. структуру ТМАСЕ ОРТТОМАТ НЕАТЕВ, 
листинг 1.17); 

С гРо1пхехТованрака — смещение в файле, по которому находится данная 
секция; 
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С Ро1пеехТове1оса%1опз, Ро1пеееТоГ1пепапьег$,  МипрегОЕВе1оса*1опз, 
МипрекоЕТ1 пепиююегз — данные поля используются в об]-файлах и нами 
рассматриваться не будут; 


О свахаскек1$%1сз — флаги, характеризующие секцию (табл. 1.29). 


Таблица 1.29. Флаги, характеризующие секцию 








Значение Объяснение 

00000020Н Секция содержит программный код 
00000040Н Секция содержит инициализированные данные 
0000008 0Н Секция содержит неинициализированные данные 
00000200Н Секция используется компилятором 
00000800Н Секция используется компилятором 
04000000Н Секция не может кэшироваться 

08000000Н Секция не имеет страничной организации 
10000000Нн Совместно используемая секция 

20000000Н Секция является исполняемой 

40000000нН Секция только для чтения 

80000000Н Секция может использоваться для записи 


Имена секций и их назначение могут быть разными. Это уже на усмотрение 
компиляторов. 


( Замечание ) 


Вы сами можете создавать собственные секции и давать им уникальные имена. 
Например, вы можете написать программу на ассемблере и дать секции 
(сегменту), где будет располагаться исполняемый код, произвольное имя. Про- 
грамма будет работать нормально, но некоторые дизассемблеры и отладчики 
будут возмущены тем, что точка входа в программу расположена в секции с 
именем, которое им совсем незнакомо. 


Вот далеко не полный список секций, создаваемых компиляторами фирмы 
М!сгозой и Войапа: 


О ехг — секция содержит исполняемый код (М!сго5ой); 
О СОБЕ — секция содержит исполняемый код (Войапя); 


О .Чаа — здесь содержатся инициализированные глобальные переменные 
(М1сгозой); 


О ПЛАТА — здесь содержатся инициализированные глобальные переменные 
(ВоПапа); 
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С 55$ — все неинициализированные данные; размер секции в файле равен 
нулю; 


С .САТ — еще одна секция для инициализированных данных (М1сгозой); 
С СКТ — данные (Войапя); 


С тажа — данные, доступные только для чтения (константы, отладочная 
информация); 


т$гс — секция содержит информацию о ресурсах; 
„едааа — секция содержит информацию об экспортируемых функциях; 
Аза — секция содержит информацию об импортируемых функциях; 


ооо8оо 


.ге]ос — таблица настроек. Информация может понадобиться загрузчику 
\УМпао\$, если по каким-либо причинам он будет загружать модуль по 
адресу, отличному от указанного в заголовке РЕ. Таблица содержит отно- 
сительные адреса тех ячеек памяти, содержащих, в свою очередь, исполь- 
зуемые в программе адреса, значения которых, возможно, потребуется 
изменить при загрузке. Данная таблица называется также таблицей пере- 
мещения (геосаНоп 1ае). Об исследовании таблицы перемещений см. в 
разд. 2.1.1 (о программе д4итрЫп.ехе); 


С со4ае — переходы на функции импорта старых версий ШиКк3З2.ехе; 
С .АеБий — секция содержит отладочную информацию. 


Итак, по таблице секций вы можете вычислить положение секции в файле и 
ее размер и, тем самым, получить возможность посмотреть, что в ней хра- 
нится: получить листинг или даже попытаться дизассемблировать испол- 
няемый код. Но особо следует остановиться на таблицах импорта, экспорта 
и секции, содержащей ресурсы, чем мы займемся в следующих разделах. 
Вначале, однако, следует прояснить, что такое РЕ-образ в виртуальной па- 
мяти. Дело в том, что это не совсем копия РЕ-модуля. В упрощенном вари- 
анте загрузка модуля происходит в два приема: 


1. В виртуальную память загружаются все заголовки: ОО$-заголовок, РЕ- 
заголовок (ТМАСЕ_МТ_НЕАТЕВ5) и таблица секций. 


2. В память начинают загружаться секции, причем их относительные вирту- 
альные адреса должны быть выровнены согласно полю 5$есЕ1оптА11дпмеп& 
(см. описание структуры ТМАСЕ ОРТТОМАТ НЕАШЕВ). 


Какой вывод можно сделать из этого? Прежде всего, следует понять, как по 
виртуальному адресу некоторого объекта можно определить его смещение в 
файле. Этот важный вопрос возникает в связи с таблицами импорта и экс- 
порта. Алгоритм получения смещения таков: 


1. По виртуальному адресу определяем секцию, где располагается данный 
объект. 


2. Из таблицы секций определяем смещение секции в файле РЕ. 
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3. Определяем смещение объекта внутри секции. 


4. Смещение объекта получаем суммированием смещения секции в файле и 
смещения объекта внутри секции. 


В листинге 1.20 представлена функция на С++, определяющая смещение в 
файле РЕ по относительному виртуальному адресу. Соответственно предполага- 
ется, что заранее прочитана глобальная структура 1х=ТМАСЕ МТ НЕАРЕВ$ и за- 
полнен глобальный массив а1з, состоящий из структур ТМАСЕ_ЗЕСТТОМ НЕАРЕВ 
(см. листинг 1.19). Параметр узю на входе — это относительный виртуаль- 
ный адрес объекта. Функция возвращает смещение в файле РЕ. 





//определение смещения в файле РЕ по относительному виртуальному адресу 
ОИОВР дефбоЕЕ$ (РМОВР у5м) 
{ 

ОМОВО Е1=0; 


1Е (узш<а1$ [0).\У1гсоа1Аааге$$) гебагп Е1; 

Рог (10 1=0; 1<1м.Е11еНеадег.МапрегОЕ$ес®1оп$; 1++) 

{ 
1Е (Узт<а1$ [1].У1гбоа1АдЯге$5&&1>0) { 
Е1=а1$[1-1].Ро1п$ех’ТоВама*а+ (узт-а1$[1-1].У1гЕоа1Адаге$5$); 

ргеак; }; 

}; 

1Е(1==1м.Е11еНеадег.МопрегОЕ5 ес®1оп$) 
Е1=а1$[1-1].Ро1п$егТоВамПаеа+ (узм-а1$[1-1].У1гсца1Адагезз$); 

кебагп Е1; 


}; 


1.5.4. Таблица импорта 


Сразу хочу сказать главное. Если кто-то вздумает выйти на секцию импорта 
посредством имени 1Чаза в таблице секций, то его ждет разочарование. По 
крайней мере, редакторы связей фирмы Мггозой такой секции не создают. 
Значит, придется использовать массив Рафар1гескогу Из структуры 
ТМАСЕ ОРТТОМАЬ НЕАРЕВ (см. листинг 1.17). Вы можете использовать про- 
грамму из приложения, чтобы провести простейшее исследование исполняе- 
мых модулей. Вы легко обнаружите, что во многих исполняемых модулях 
секции 1Аага нет, хотя таблица импорта присутствует. Если же секция 1Чаа 
присутствует, то таблица импорта, разумеется, расположена именно там. 
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Итак, напоминаю. Массив рака01хескоху состоит из двенадцати значимых 
элементов (всего 16). Каждый элемент массива состоит из двух полей: 
У1хсоа1Адагезз — виртуальный адрес объекта, $1ге — размер объекта (см. 
листинг 1.18). Таблииу импорта определяет второй элемент (индекс 1). Это 
единственное надежное свидетельство о том, где находится таблица импор- 
та. Но нам этого вполне достаточно. Вспомните наши рассуждения в конце 
предыдущего раздела и листинг 1.20. Таким образом, проблем с поиском 
таблицы импорта у нас не возникает и остается только понять структуру 
этой таблицы, чем мы сейчас и займемся. 


Сразу же в начале таблицы импорта мы натыкаемся на массив структур, 
представленных на листинге 1.2]. 





зЕгисе ТМАСЕ ТМРОВТ РЕЗСВТРТОВ { 


ап1оп { 
ОМОВР СВагас&ег1$%1с$; 
РИОВО Ог191па1Е1хзЕТвоапк; 

}; 

РИОВО Тлмерасеб$ апр; 
РМОВО ЕКогиагаегСпа1п; 
РИОВРО Мате; 
РМОВО Е1хзЕТРоапк; 


Массив заканчивается элементом с нулевыми полями. Лишний раз под- 
черкну, что проверять на равенство нулю следует, по крайней мере, два по- 
ля, например, Свагаскег1$1сз И Маме. Разберем теперь поля, представлен- 
ные в листинге 1.21: 


С] свагаскек1$&1сз — относительный виртуальный адрес другого массива, 
содержащего относительные виртуальные адреса имен импортируемых 
функций; 


С] т:леракез$кашр — дата и время создания файла (библиотеки а!) или 0; 
С ЕокиагаегСва1п — обычное значение окЕЕЕРЕЕЕЕКВ; 


С маме — адрес строки в формате АЗСИ, содержащей имя библиотеки им- 
порта (динамической библиотеки); таким образом, каждый элемент мас- 
сива соответствует своей динамической библиотеке; 


С] Е:гзЕТВоок — относительный виртуальный адрес массива, содержащего 
адреса имен импортируемых функций, вторая копия массива, на который 
указывает поле Срагаскег15%1с$. Если Поле Свагаскег1з%1сз равно 0 
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(так поступают некоторые компиляторы фирм, отличных от Мггозой), то 
следует проверить поле Е1хэЕТВопк, которое указывает на вторую копию 
массива. 


Замечание 


Я надеюсь, что читатель понимает, что речь идет о динамических библиотеках, 
неявно связываемых с исполняемым модулем, а не тех, которые загружаются 
по ходу выполнения программы АР!-функцией гоаат1ъгахгу. 


Теперь обратимся к массивам, на которые указывают поля Спагаскек1з(1с$ 
И Е1хзЕТВарк. Лишний раз хочу подчеркнуть, что речь идет о двух массивах, 
хотя их элементы указывают на одни и те же имена импортируемых функ- 
ций. Массивы состоят из структур, представленных в листинге 1.22. 


а 





5ЕгисЕ ТМАСЕ ТНОМК РАТАЗ2 { 
оп1оп { 
ОМОВО Гогмагаег®г1па; 
ОМОВКО ЕопсЕ1оп; 
ОМОКО Ога1па1; 
ОМОВО АаагеззОЕВа*а; 
} 51; 


Как видим, структура ТМАСЕ_ТНОМК_РАТАЗ2, ПО сути, состоит из одного поля, 
но в четырех ипостасях. Это поле указывает (относительный виртуальный 
адрес) на имя импортируемой функции для данной динамической библио- 
теки (не потеряли ниточку рассуждений?). Если старшее слово поля равно 
8000н, то младшее слово содержит порядковый номер импортируемой 
функции (импорт по ординалу). В конце массива должно быть двойное сло- 
во, равное нулю. 


Ну и, наконец, мы подходим к структуре имени импортируемой функции. 
Не вдаваясь в подробности, заметим, что имя функции имеет простую 
структуру АЗСПИ с нулем на конце. Только вот начинается оно по адресу, 
который указан в структуре тмАСЕ_ТНОМК_РАТАЗ2, плюс два байта. В двух же 
предшествующих байтах содержится номер из А!-библиотеки для данной 
импортируемой функции. 


Особо следует остановиться на массиве, на который указывает поле 
ЕАгзеТРипк Из структуры ТМАСЕ_ТМРОВТ РЕЗСВТРТОВ (см. листинг 1.21). 
Команды САТГ, вызывающие импортируемые функции, указывают на эле- 
менты этого массива непосредственно (так: САБ. РМОВО РТВ [аакгез]} ИЛИ 
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Так: моу ЕЗТ, аагез/САЬЪ ЕЗТ) или вызывают в начале переходник (7мР 
ОРИОВЬ РТВ [адгез]). Во время загрузки модуля загрузчик по именам или 
ординалам импортируемых функций определяет их истинные адреса в памя- 
ти и помещает эти адреса в данный массив. Массив же, на который ука- 
зывает поле Свагаскех1$%1сз, изменению при загрузке не подвергается. 
В разд. 1.6.1 вы можете найти развернутый пример поиска имени импорти- 
руемой функции. 


1.5.5. Таблица экспорта 


Таблица экспорта необходима динамическим библиотекам для того, чтобы 
приложения могли корректно вызывать предоставляемые библиотекой 
функции. Как и в случае с таблицей импорта, следует воспользоваться мас- 
СИВОМ Ракар1гескогу Из структуры тТМАСЕ_ МТ_НЕАБЕВ$ — секция еда может 
в исполняемом модуле и отсутствовать. В данном случае нам понадобится 
самый первый элемент массива (значение индекса 0). 


По указанному адресу располагается структура ТМАСЕ_ЕХРОВТ_ОТВЕСТОВУ. 
В ней расположена вся необходимая информация об экспортируемых функ- 
циях (листинг 1.23). 





ЗЕхосСе ТМАСЕ ЕХРОВТ ОТКЕСТОВУ { 
ОМОВО СРагас®ег1$1с$; 
ОМОВО Тииераееб апр; 


МОВО Ма)ог\Уег$1оп; 

ИОВО М1погУег$1оп; 

ИОВ Маме; 

РИОВО Вазе; 

ОИОВР — МопбегОЕЕГипс®1оп$; 
ОИОВО М№опрегОЕМамез; 

РМОВР — Ааагез5ОЕГоапс®1оп$; 
ИОВ АаагеОЕМашез; 

РМОВР — Ааагез5ОЕМатеОга1та1$; 


Разберем поля структуры ТМАСЕ_ЕХРОВТ_ОТВЕСТОВУ: 
О съагаскег15%1сз — резерв; по-видимому, всегда 0; 


С т:перасе$хаюр — время и дата создания экспортных данных или 0; 
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О ма)окУег$1оп — старшая часть версии таблицы экспорта; скорее всего, 0; 
О м:погУег$1оп — младшая часть версии таблицы экспорта; скорее всего, 0; 


О маце — имя экспортирующего модуля; в принципе, может и не совпадать 
с именем файла; 


О вазе — начальный номер экспортируемой функции. Экспортируемые 
функции кроме имени имеют и номер, так что доступ к ним (импорт) 
можно осуществлять по этому номеру. Такой номер называют еще орди- 
налом (ог та!); 


С мольегоОЕЕГипсЕ1оп5 — количество элементов в массиве адресов экспорти- 
руемых функций; 


С молрегОЕМамез — количество элементов в массиве имен экспортируемых 
функций; 


О Ааагез5ОЕЕопсЕ1опз — относительный виртуальный адрес массива вирту- 
альных адресов экспортируемых функций; 


О даагеззОЕМамез — относительный виртуальный адрес массива, в котором 
содержатся относительные виртуальные адреса имен экспортируемых 
функций; 


С лаагеззОЕМамеОкга1па1$з — относительный виртуальный адрес 16-битного 
массива (массив ординалов), содержащего значения индексов для масси- 
ва адресов экспортируемых функций. Для получения ординала функции 
следует к значению индекса прибавить значение поля Вазе. 


Для полного уяснения того, как можно получить информацию об экспорти- 
руемых функциях, следует понять, как соотносятся друг с другом три масси- 
ва: массив адресов функций, массив адресов имен, массив ординалов. По- 
следний массив является связующим звеном между двумя первыми 
массивами. Количество элементов в массиве имен равно количеству элемен- 
тов в массиве ординалов. Поэтому для того чтобы получить адрес функции 
по ее имени, следует совершить следующие шаги: 


1. Найти по имени функцию в массиве имен. 


2. Взять индекс, по которому находится нужное имя в массиве имен, и най- 
ти в массиве ординалов элемент с таким значением индекса. 


3. Взять значение найденного элемента в массиве ординалов, которое и бу- 
дет служить индексом для массива адресов функций, и, обратившись к 
массиву адресов функций, получить нужный адрес. 


Проанализируйте программу из приложения на предмет работы с таблицей 
экспорта и поэкспериментируйте с определением таблицы экспорта у раз- 
личных программ и динамических библиотек. 
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1.5.6. Ресурсы 


Как и в предыдущих случаях, для получения доступа к блоку ресурсов следует 
воспользоваться массивом расар1гескогу Из структуры ТМАСЕ_МТ_НЕАБЕВ$. 
Нам понадобится элемент массива с индексом 2. В отличие от ранее рас- 
смотренных объектов РЕ-модуля, секция ресурсов имеет древовидную 
структуру, в которой на практике используются четыре уровня. Кроме этого, 
все адреса, используемые внутри секции ресурсов, отсчитываются от начала 
секции ресурсов, т. е. не являются ВУА. Это и понятно, ведь ресурсы загру- 
жаются в память по мере обращения к ним, а не во время загрузки самого 
модуля. 


По сути, для того чтобы понять структуру ресурсов, нам понадобятся лишь 
две структуры, представленные в листингах 1.24 и 1.25. 





зЕгисе ТМАСЕ ВЕЗОЧВСЕ ОТВЕСТОВУ { 


ОМОВО Спагас{ег1$%1с$; 
ОИОВО Т1мерахе5$ апр; 

МОВО Ма)огУег$1оп; 

МОВО М1погУегз1оп; 

ИОВО МоипрегОЕМамедЕ п г1е$; 
МОВО МопрегОЕТАЕпет1е$; 


Разберем поля структуры тТМАСЕ_ВЕЗОЧВСЕ _ОТВЕСТОВУ: 

С] свагас%ег1з&1сз — поле флагов, которое в настоящее время, по-види- 
мому, не используется; 

С] т:лераке$хатр — дата и время создания ресурсов; 

С мазогУегз1оп, М1погУегз1оп — старшая и младшая части версии ресур- 
сов: поля бесполезны; 

С) млъегоЕМатечЕтех1ез — общее количество именованных ресурсов (имею- 
щих имя); 

( мопьегоЕТАЕПег1ез — общее количество ресурсов, заданных своим иден- 
тификатором. 
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АРХ, 





5ЕгисЕ ТМАСЕ ВЕЗОЧВСЕ ОТВЕСТОВУ ЕМТВУ { 
ОЪОМС Мапе; 
ОТОМС ОЕЕзееТора{а; 


Поля структуры ТМАСЕ_ВЕЗООВСЕ _ОТВЕСТОВУ ЕМТВУ: 


О маме — поле может интерпретироваться по-разному в зависимости от 
уровня и значение старшего бита; я оговорю ниже все эти случаи; 


О оЕЕзекТорака — это поле является адресом, вычисленным относительно 
начала секции ресурсов; на том, что может указывать данный адрес, я ос- 
тановлюсь отдельно. 


Итак, перейдя по адресу, который указан во втором элементе (с индексом 2) 
массива рахар1гескогу, Мы оказываемся в царстве ресурсов. Здесь начина- 
ется первый уровень. Лишний раз подчеркну, что если значение адреса рав- 
но нулю, то это может означать только, что блок ресурсов отсутствует. 


Первый уровень 


На самом верхнем (первом) уровне ресурсов располагается структу- 
ра ТМАСЕ ВЕЗООВСЕ ОТВЕСТОВУ (см. листинг 1.24). Единственное поле, кото- 
рое может дать нам возможность исследовать ресурсы, — это 
МирегОоЕТАЕПег1ез. На первом уровне это поле содержит количество типов 
ресурсов, хранящихся в заголовке РЕ. Поле же мопьегоЕМащедЕпег1ез на 
первом уровне вообще не имеет никакого значения. Итак, что же нам дает 
количество типов ресурсов? Оказывается, это ключ, потому что за структу- 
рой — ТМАСЕ ВЕЗОЧВСЕ РТВЕСТОВУ сразу следует массив — структур 
ТМАСЕ_ВЕЗООВСЕ РТВЕСТОВУ_ЕМТВУ (см. листинг 1.25), их количество как раз 
равно значению, которое хранится в поле МопьехОЕтАЕрег1ез, Так ЧТО МЫ 
без труда прочтем их один за другим. Поле Мапе структуры 
ТМАСЕ ВЕЗООВСЕ ОТВЕСТОВУ ЕМТВУ на первом уровне содержит идентифика- 
тор типа ресурса. Идентификаторы типов ресурсов можно найти в файле 
учпизег.п пакета \У15ца| ЗиЧю .МЕТ (листинг 1.26). 





#АеЁ1пе ВТ СУВ$ОВ 1 
#+АеЁ1пе ВТ ВТТМАР 2 
#АаеЁ1пе ВТ ТСОМ 


118 Глава 1 





#АеЁ1пе ВТ МЕМО 4 
+ЧеЁ1пе ВТ_ОТАЬОС 5 
#+ЧеЁ1пе ВТ_5ТВТМС 6 
#$АеЕ1пе ВТ_РГОМТОТВ 7 
#АеЁ1пе ВТ РОМТ 8 
+аеЁ1пе ВТ_АССЕТЕВАТОВ 9 
#$аеЕ1пе ВТ_ВСРАТА 10 
#$аеЁЕ1пе ВТ МЕЗЗАСЕТАВЬЕ 11 
#аеЁ1пе ВТ СВОПР СУВЗОВ 12 
#аеЁ1пе ВТ СВООР_тСОм 14 


#АеЁ1пе ВТ УЕВЗТОМ 16 
#фаеЕ1пе ВТ_ОЬСТМСЬООЕ 17 
#АеЁ1пе ВТ_РТОСРЬАУ 19 
#аеЕ1пе ВТ_УХО 20 
#АеЁ1пе ВТ_АМТСОВ$ОВ 21 
#ЧеЁ1пе ВТ АМТТСОМ 22 
#+аеЕ1пе ВТ_НТМЬ 23 
#+ЧеЕ1пе ВТ МАМТЕЕЗТ 24 


Итак, на первом уровне мы узнали, сколько типов ресурсов имеется в моду- 
ле, и можем легко их идентифицировать. 


Поле оЕЕзекТорафа каждого из элементов массива указывает на структуры 
ТМАСЕ _ВЕЗООВСЕ_ОТВЕСТОВУ, НО уже второго уровня. 


Второй уровень 


Второй уровень опять начинается со структур ТМАСЕ_ВЕЗОЧВСЕ_ОТВЕСТОВУ. 
Количество их равно количеству типов ресурсов в модуле (см. конец преды- 
дущего раздела). В них нас будут интересовать два поля: 
МатрегОЕМащедЕпех1ез И МиомьегоЕТАЕтетк1ез. Первое поле будет содержать 
количество именованных ресурсов, второе — количество ресурсов, заданных 
по идентификатору. Таким образом, сразу за каждой структурой 
ТМАСЕ_ВЕЗОЦВСЕ ОТВЕСТОВУ на втором уровне будет следовать массив из 
структур тТМАСЕ_ВЕЗОЧВСЕ_ ОТВЕСТОВУ ЕМТВУ, Количество элементов в котором 
будет равно МольегоЕМамеЧЕпек1ез + МишрегОЕТАЕтех1ез. На полях структу- 
ры ТМАСЕ_ВЕЗООВСЕ РТВЕСТОВУ_ЕМТВУ, Из которой состоит массив, следует 
остановиться особо. Поле Маме теперь следует интерпретировать по-другому. 
Если старший бит этого поля равен 0, само поле представляет собой иден- 
тификатор ресурса. Если же старший бит равен 1, то остальные биты следу- 
ет интерпретировать как смещение относительно начала блока ресурсов 
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имени данного ресурса. Причем структура имени такова: в начале идут два 
байта — длина имени в символах (именно в символах, а не в байтах), а да- 
лее — само имя, но в кодировке Ушсоде. 


Обратимся опять к ПОЛЮ ОЕЕзееторака. В данном случае оно для каждой 
структуры ТМАСЕ_ВЕЗООВСЕ РТВЕСТОВУ ЕМТВУ второго уровня указывает на 
такую же структуру, но третьего уровня. 


Третий уровень 


Стало быть, разветвление закончилось вторым уровнем. Массив структур 
ТМАСЕ ВЕЗОЧВСЕ_РТВЕСТОВУ ЕМТВУ на третьем уровне соответствует анало- 
гичным структурам второго уровня. Рассмотрим, как же теперь следует ин- 
терпретировать поля этой структуры на третьем уровне. Поле маме теперь 
определяет номер (идентификатор) языка ресурса. Все идентификаторы 
определены в заголовочном файле \/ПММТ.Н, они начинаются с префикса 
ТАМС_, И мы не будем их перечислять. Поле же оЕЕзееТорака опять указыва- 
ет на структуру ТМАСЕ ВЕЗООВСЕ РТВЕСТОВУ ЕМТВУ, НО уже четвертого уров- 
НЯ. 


Четвертый уровень 


На четвертом уровне поле маме структуры ТМАСЕ_ВЕЗОЧВСЕ _РТВЕСТОВУ_ЕМТВУ 
определяет размер, который занимает двоичный образ ресурса. Адрес 
(относительно начала секции ресурсов, как обычно) области памяти, где 
располагается двоичное описание ресурса, определяется полем 
ОЕЕзесТорафа. 


На этом я закончу описание ресурсов, заметив только, что программа из 
приложения анализирует лишь два уровня ресурсов. Впрочем, в большинст- 
ве случаев иного и не требуется. 


1.5.7. Об отладочной информации 


Описание структуры РЕ-модуля будет неполным, если мы, хотя бы кратко, 
не остановимся на отладочной информации. Программа из приложения со- 
общает только о наличии такой информации (отладочной информации и 
таблицы символов) и адресов (смещений), по которым она располагается. 


Таблица символов 


Положение таблицы символов определяется из файлового заголовка 
Е11еНеадег. Поле Ро1пкегТобутьо1ТаБ1е как раз содержит относительный 
виртуальный адрес таблицы символов. Если поле равно нулю, то таблица 
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символов отсутствует. Что представляет собой таблица символов? Название, 
конечно, несколько неточное. Под символом здесь понимается идентифика- 
тор языка высокого уровня: переменная или функция. Таблица символов 
содержит: имя символа (имя переменной, функции), относительный вирту- 
альный адрес символа, тип символа (переменной или функции), класс па- 
мяти символа (азеотаЕ1с, кед1зкег, 1аЪе1 И т. д.). Вся эта информация об 
идентификаторе упакована в структуру ТМАСЕ_зУМВвОг, которую можно найти 
в файле У\/ПММТ.Н. 


Отладочная информация 


Говоря об отладочной информации, мы имеем в виду информацию о номе- 
рах строк программы. Эта информация хранится в РЕ-модуле в другой об- 
ласти, нежели таблица символов. Но чтобы выйти на эту информацию, при- 
дется немного — потрудиться. Необходимо выйти на заголовок 
ТМАСЕ РЕВОС ОТВЕСТОВУ. На него указывает шестой (с индексом 6) элемент 
массива Рафар1гескоку из структуры ТМАСЕ_МТ_НЕАБЕВ$. Если в структуре 
РЕ-файла содержится несколько типов отладочной информации, то для ка- 
ждого типа имеется своя структура тМАСЕ РЕВОС_РТВЕСТОВУ. Поле ТУРЕ ЭТОЙ 
структуры и определяет тип отладочной информации. Типы отладочной ин- 
формации вы опять же можете найти в файле \/ПММТ.Н. Они заданы в кон- 
стантах тТМАСЕ_ РЕВОС_ТУРЕ_. Например, значение | соответствует отладочной 
информации формата СОЕЕ, значение 9 (тмаАСЕ_РЕВОС _ТУРЕ_ВОВЬАМО) соот- 
ветствует отладочной информации Вопапа, и т. д. Поле Ро1пеегТоВамра*а 
структуры ТМАСЕ_РЕВОС _ОТВЕСТОВУ, в случае если поле ТУРЕ равно |, долж- 
но содержать смещение от начала файла блока отладочной информации 
формата СОЕЕ. Именно там должна располагаться структура 
ТМАСЕ_СОЕЕ_$УМВОЪ$ НЕАРЕВ. Это ключевой момент. Структура содержит 
информацию и о таблице символов, на которую мы раньше вышли другим 
способом (см. предыдущий раздел), и на таблицу номеров строк. Поле 
МатрегОЕ5утро15 Должно содержать количество идентификаторов в сим- 
вольной таблице. Это число будет в точности равно содержимому 
МитьегОЕ$утьо15 Поля в структуре ТМАСЕ_ЕТЬЕ_НЕАБЕВ (см. листинг 1.16). 
Поле туаТоЕ1гзЕ5упьо1 будет содержать смещение от начала структуры 
ТМАСЕ _СОЕЕ_$УМВОЬ$ НЕАРЕВ Таблицы символов. Таким образом, мы вышли 
на таблицу символов другим, я бы сказал, более академичным способом. 
Наконец, поле туаТоЕ1хзЕ1пепопек содержит смещение от начала струк- 
туры СОЕЕ-таблицы номеров строк. 
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1.6. Об отладке 
и дизассемблировании программ, 
написанных на языке ассемблера 


В данном разделе мы займемся языком ассемблера, поскольку отладка и 
дизассемблирование программ, написанных на этом языке, наиболее просты. 


1.6.1. Примеры дизассемблирования 


Разберем несколько примеров дизассемблирования, которые, на мой взгляд, 
помогут читателю быстро освоить этот процесс. 


Пример поиска импортируемой функции 


Рассмотрим чрезвычайно простой пример программы на языке ассемблера. 
Текст программы вы можете видеть в листинге 1.27. 





. 586Р 
.МОРЕТ ЕЦАТ, ЗТОСАТТ, 
1пс1а4е116 Е: \пазм32\116\и5ег32.115 
ЕХТЕВМ МеззадеВохА@16:МЕАВ 
;сегмент данных 
_БАТА ЗЕСМЕМТ 
ТЕХТ1 ОВ 'М№ ргор1ет!',0 
ТЕХТ2 ОВ 'Меззаде',0 
_БАТА ЕМО$ 
;сегмент кода 
_ТЕХТ ЗЕСМЕМТ 
ОТАВТ: 
РОЗН ОКЕЗЕТ 0 
РОЗН ОКЕЗЕТ ТЕХТ2 
РОЗН ОГЕЗЕТ ТЕХТ1 
РОЗН 0 
САЪТЪ МеззадеВохА@16 
ВЕТМ 
_ТЕХТ ЕМО$ 
ЕМО СТААТ 
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Программа из листинга 1.27 чрезвычайно проста. Ее единственная задача — 
вывести окно-сообщение МеззадеВох. Чтобы получить исполняемый модуль, 
выполним две команды: 


МЬ /с /соЕЕ ргоа.азм 
ЪТМК /зобзузеем:соп$о]1е ргоа.оЪ7 


То, что мы создаем именно консольную программу, не имеет в данном слу- 
чае никакого значения. Впрочем, читатель (из любопытства) может исполь- 
зовать для трансляции ключ /зоьзузеещ:и1паом$ и попытаться объяснить 
разницу в выполнении обеих программ. 


В результате трансляции в каталоге появится исполняемый файл ргов.ехе. 
Собственно, для программиста, знакомого с ассемблером, это все достаточ- 
но очевидно. А вот дизассемблирование даже такой простой программы — 
куда более интересное занятие. Воспользуемся для дизассемблирования 
программой аитрЫп.ехе из пакета У15па! Зт4ю МЕТ. Выполним команду 


Аитрр1п /Я1зазм ргод.ехе > ргод.ехе 


Содержимое текстового файла ргов.14х{ представлено в листинге 1.28. 





М1скозоЕ® (В) СОЕЕ/РЕ Пишрег Уегз1оп 7.10.3077 
Соруг1арЕ (С) М1скозоЕЕ Согрога®1оп. А11 г1а6%$ гезегуеа. 


Пр оЕЁ Е11е г8.ехе 


Е11]е Туре: ЕХЕСОТАВЬЕ ТМАСЕ 


00401000: 6А 00 разв 0 
00401002: 68 0С 30 40 00 рав 40300СВ 
00401007: 68 00 30 40 00 разв 4030008 
0040100С: 6А 00 разв 0 
0040100Е: ЕЁ 01 00 00 00 са11 00401014 
00401013: СЗ гее 
00401014: ЕЕ 25 00 20 40 00 ]3пр Чмога рег а$: [004020001] 
Зиптагу 
1000 „Заха 
1000 .гаафа 


1000 „ЕехЕ 
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Программа 4итЫп.ехе оказалась вполне работоспособной и добросовестно 
выполнила дизассемблирование нашего модуля. Из текста мы легко узнаем 
вызов импортируемой функции МеззадеВох. Это в частности вытекает из 
значения параметров. Выполнив команду 


ЧитрЬ1п /гамЧафа /зесЕ1оп:.Чафа ргод.ехе > ргод.ехЕ 


получим содержимое секции .4аа, где должны располагаться инициализи- 
рованные данные (листинг 1.29). 





ВАМ РАТА #3 
00403000: 4Е 6Е 20 70 72 6Е 62 6С 65 60 21 00 40 65 73 73 № ргоБЛем! .Мез$ 
00403010: 61 67 65 00 аде. 


Сравнив адреса параметров из листинга 1.28 с данными из листинга 1.29, 
мы убеждаемся, что вызов саТТ, — это и есть вызов импортируемой функции 
МеззадеВох. 


Однако мы разрешили не все вопросы, возникающие при просмотре листин- 
га 1.28. Дело в том, что вызов осуществляется по адресу, где стоит команда 
МР. Чтобы понять, что это значит, нам придется обратиться к разд. 1.5.4, где 
мы разбирали таблицу импорта. Напомню вкратце, о чем там шла речь. Таб- 
лица импорта состоит из массива структур ТМАСЕ_ТМРОВТ_РЕЗСВТРТОВ (см. 
листинг 1.21). Количество структур в массиве равно количеству используе- 
мых динамических библиотек. Речь, конечно, идет о неявном связывании. 
В этой структуре имеется поле Е1хзЕТВопк, которое должно указывать на 
массив структур ТМАСЕ ТНОМК_РАТАЗ2 (для каждой @АП-библиотеки). Эти 
структуры, по сути, состоят из указателей на имена импортируемых функ- 
ций. После загрузки исполняемого модуля вместо адресов имен функций 
загрузчик помещает сюда адреса самих функций в А-библиотеке. Команда 
)мр Амога рег 93: [004020005] вызывает импортируемую функцию, адрес 
которой должен находиться по адресу 004020008. Таким образом, можно 
сделать вывод, что виртуальный адрес 004020008 — это виртуальный адрес 
элемента массива, на который указывает поле Е1хзЕТЬопк. Воспользовав- 
шись программой из приложения, мы можем получить относительный вир- 
туальный адрес и смещение для массива ТМАСЕ ТНОМК_РАТАЗ2 (в программе 
он называется АагезтптрАггау). Относительный виртуальный адрес оказыва- 
ется равным 20005. Здесь все верно, поскольку виртуальный адрес загрузки 
равен 4000001. Смещение же оказывается равным 600%, и мы можем в фай- 
ле ргоё.ехе найти массив структур ТМАСЕ_ТНОМК_РАТАЗ2. Это можно сделать 
самой простой программой просмотра файлов в шестнадцатеричном пред- 
ставлении из файлового менеджера Ёг.ехе. Оказывается, что по адресу 6005 
располагаются байты 38 20 00 00, т. е. число 2038. Это число есть не что 
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иное, как относительный виртуальный адрес (за минусом двух) имени им- 
портируемой функции МеззадевВох, т.е. истинным относительным вирту- 
альным адресом имени функции, а затем после загрузки самой функции 
является 203Ав. Опять воспользовавшись программой из приложения, мы 
убеждаемся, что все верно, и смещение имени функции в файле ргов.ехе 
должно располагаться по адресу 6зАв. Обратившись к файлу рго?.ехе, убеж- 
даемся, что действительно по данному смещению располагается строка 
МеззадеВохА. 


Быть может, наши рассуждения с использованием нескольких программ по- 
казались читателю сложными. Давайте попытаемся проделать те же дейст- 
вия, используя только программу Ше\’.ехе. Данная программа является 
одним из лучших ПВех-редакторов, незаменимым инструментом при исправ- 
лении исполняемых модулей. Она также обладает возможностями дизас- 
семблирования РЕ-модулей. Я буду использовать версию программы 6.11. 
Итак, загрузим в программу Ше\м.ехе наш исполняемый модуль ргов.ехе. Вот 
что мы обнаружим по адресу 401000. в режиме дизассемблирования 
(листинг 1.30). 





.00401000: 6400 разв 00 
.00401002: 680304000 разр 000403000С 
. 00401007: 6806304000 разв 0004030000 


.0040100С: 6А00 разв 00 
.0040100Е: 2801000000 са11 .000401014 
.00401013: С3 ге 


.00401014: Е72500204000 \гпр МеззадеВохА 


Как видим, программа Ше\.ехе оказалась более продвинутой, чем аштр- 
Ып.ехе, поскольку она распознала вызов МеззадеВохА. Из кода команды упр 
определяем адрес перехода. Это будет 4020001, как и следовало ожидать (не 
забывайте, как хранятся байты целых чисел, и что первые два байта кода 
команды — сам код и байт мор в/м, см. разд. 1.4). Перейдем теперь в шест- 
надцатеричный режим просмотра и обратимся к полученному адресу. Там, 
как и следовало ожидать, мы обнаруживаем байты 38 20 00 00, т. е. число 
2038н. Это относительный виртуальный адрес. Чтобы получить виртуальный 
адрес, добавим к нему адрес загрузки модуля, который равен 4000001. Адрес 
же строки, которая должна содержать имя импортируемой функции, т. е. 
МеззадеВохА, получается так: 4000005 + 2038В + 25 = 40203Ав. Обратимся к 
полученному адресу и, разумеется, обнаружим там искомое имя. 


Интересно посмотреть, что же получится, если программа будет откомпили- 
рована при помощи ТА$МЗ2. Для этого в программе имя МеззадеВохА@16 
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следует заменить на имя МеззадеВохдА, а библиотеку импорта изег32.16 на 
библиотеку итроп32.16 от Войапа. Для компилирования используем сле- 
дующие команды: 


{азм32 /юР ргод.азм 


6110К32 -ар ргод.0Ъ) 


После компиляции запустим программу Ше\м.ехе и загрузим в нее испол- 
няемый модуль ргог.ехе (обратите внимание, что компилятор от Войапа 
создает менее компактные исполняемые модули, чем аналогичный от 
Мгсгозой). В листинге 1.31 — дизассемблированный текст. Сравните его с 
тем, что представлен в листинге 1.30. Как видим, практически идентичный 
текст, правда, адресация немного другая. 





.00401000: 6А00 разр 00 
.00401002: 680С204000 разй 00040200С 
.00401007: 6806204000 ризп 0004020000 


.0040100С: 6А00 разв 00 
.0040100Е: Е801000000 са11 . 000401014 
.00401013: С3 геёп 


.00401014: #ЕЕ2530304000 3пр МеззадеВохА 


Обратимся по адресу 4030301, это адрес элемента массива, указывающего на 
имя импортируемой функции. Там располагается цепочка байтов 44 30 00 00, 
т.е. по адресу 40000ъ + 3044ь должно присутствовать имя импортируемой 
функции. Так и есть, имя находится именно там. 


Некоторые сложности 
в распознавании исполняемого кода 
Хотя, казалось бы, при дизассемблировании исполняемых модулей, напи- 


санных на языке ассемблера, не должно быть особых проблем, все же кое- 
какие сложности возникают. И мы о них будем говорить. 


Рассмотрим программу из листинга 1.32. Вначале откомпилируем ее с по- 
мощью ассемблера МАЗМЗ2. 


аа м 





. 58 6Р 
.МОБЕТ, ЕЪАТ, ЗТОСАЪЬ 
зпс1о4е11Ь Е: \пазт32\1165\яа5ег32.11Ь 
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ЕХТЕВМ МеззадевВохА@1 6: МЕАВ 
;сегмент данных 
_РАТА ЗЕСМЕМТ 
ТЕХТ1 ОВ 'М№ ргоб1ем!',0 
ТЕХТ2 ОВ 'Меззаде'!, 0 
_РАТА ЕМОЗ 
;сегмент кода 
_ТЕХТ ЗЕСМЕМТ 
ЗТАВТ: 

РОЗН ОЕЕЗЕТ 0 

РОЗН ОГЕЗЕТ ТЕХТ2 

РОЗН ОЕЕЗЕТ ТЕХТ1 

РОЗН 0 

САЪЬ МеззадеВохА@16 

ВЕТМ 

ОВ 50 
11: 
ВЕТМ 

_ТЕХТ ЕМО$ 
ЕМО ЗТАВТ 


Программа из листинга 1.32, конечно, чрезвычайно странная. К чему метка 
11, если на нее нет никаких переходов? Погодите, метка нам еще пригодит- 
ся. А к чему последовательность ров 50/ВЕТМ, Она же не выполняется? Тер- 
пение, обо всем по порядку. Мне просто интересно, как на такой фрагмент 
среагируют наши дизассемблеры. Как я и предполагал (надеюсь, что и вы 
тоже), весь следующий за первой командой вЕТМ фрагмент кода дизассемб- 
лерами будет понят неправильно. Да и как, скажите, им его понять, если 
это просто последовательность байтов 32 сз, которая соответствует команде 
хов АБ, ВЬ. Так оно и есть, все дизассемблеры, в том числе и легендарный 
ТЛА Рго, посчитали, что за командой вЕТМ стоит команда хов АТ, ВЬ. 


Замечание 


Удивил меня отладчик (и дизассемблер тоже) О!УОБЗ. После загрузки он показал 
последовательность рв 50/ВЕТМ. "Мистика", — подумал я и, на секунду уверовав 
в величие отладчика, заменил последовательность байтов на одну команду Хок 
АБ, ВЬ. Но он тупо твердил, что это ОВ 50 /ВЕТМ, и я был разочарован. 


Теперь видоизменим нашу программу всего одной командой моу ЕВХ, ОЕЕЗЕТ 
11 (листинг 1.33). Разумеется, она не имеет никакого смысла, но это только 
для нас. А что скажут наши дизассемблеры? 
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‚ 586Р 
.МОБЕТ ЕЪАТ, ЗТОСАЬЬ 
1пс1а4е116 ЕЁ: \пазт32\116\п0$етг32.115 
ЕХТЕВМ МеззадеВохА@16: МЕАВ 
; сегмент данных 
_БАТА ЗЕСМЕМТ 
ТЕХТ1 ОВ 'М№ ргоб1ем!',0 
ТЕХТ2 ОВ 'Меззаде', 0 
_РАТА ЕМОЗ 
;сегмент кода 
_ТЕХТ ЗЕСМЕМТ 
ЗТАВТ: 
МОУ ЕВХ,ОГЕЗЕТ 11 
РОЗН ОГЕЗЕТ 5УТАВТ 
РОЗН ОЕЕЗЕТ 0 
РОЗН ОЕГЕЗЕТ ТЕХТ2 
РОЗН ОКЕЗЕТ ТЕХТ1 
РОЗН 0 
САЬТ, МеззадеВохА@16 
РОР ЕПОХ 
АБР ЕОХ, 11-5ЗТАВТ 
САЪЬ ЕБХ 
ВЕТМ 
ОВ 50 
1: 
ВЕТМ 
_ТЕХТ ЕМОЗ 
ЕМО ЭТАВТ 


Проверим откомпилированный код с помощью трех дизассемблеров. Про- 
грамма Ше\.ехе ничего не замечает, т. е. отношение ее к коду после коман- 
ды ВЕТМ не изменилось. Аналогично ведет себя весьма уважаемый (не толь- 
ко мной) дизассемблер \!32азт. А вот ГРА Рго (ну, это же ПРА Рго) сразу 
реагирует на нашу команду. Для большей наглядности приведу листинг- 
фрагмент из ГРА Р!го (листинг 1.34). 
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.кехе:00401000 ; ------- 5 ОВВООТТ МЕ ----------------=---=-=--=== 
.Сехе:00401000 
.Сехф:00401000 


.бехе:00401000 руб11с збах® 

.Сехе:00401000 зсагЕ ркос пеак ; ВРАТА ХВЕЕ: эзбахгк+5?о 
„.Еехе:00401000 пох ебх, оЕЁзеф по115ю 1 

. Еехе:00401005 разв оЕЁзее зсаг® 

‚ Сехе:0040100А разр 0 ; иТуре 
.Сехе:0040100С разр ОЕЁзес Сарс1оп ; 1рСаре1оп 
.Сехе:00401011 разв ОЕЁЕзеес Техеё ; 1ртехё 
.Сехе:00401016 разв 0 ; Била 
.бехе:00401018 са11 МеззадеВохА 

. Сехе:00401010 рор еах 

.бехе:0040101Е ааа еах, 281 

.Сехе:00401024 са11 еах 

„.Сехе:00401026 хесп 

.Сехё:00401026 зфакЕ епар 


.Бехе: 00401026 
„Кехе:00401026 ;----------е----ененеааанеа---------------------- 
.сехе: 00401027 аю 326 


.Сехе:00401028 ; [00000001 ВУТЕ$: СОБЬАРЗЕОР ЕОМСТТОМ по11зир 1. РВЕ$$ 
КЕУРАО "+" ТО ЕХРАМО] 


Обращаю ваше внимание, дорогие друзья, как дизассемблирована бывшая 
команда моу\ ЕВХ, ОЕЕЗЕТ 11. Имя по11зо6 1 означает, что данная метка ука- 
зывает на процедуру, состоящую всего из одной команды вЕТМ — пустой 
процедуры (от англ. пий — пустой). Комментарий по адресу 00401028 озна- 
чает, что процедура находится в свернутом состоянии (соПарзе4). Для разво- 
рачивания процедуры, т. е. для просмотра ее текста достаточно нажать кла- 
вишу <-+> на дополнительной клавиатуре. В данном случае разворачиваемая 
процедура состоит всего из одной команды веТм. 


Итак, дизассемблер ГРА Рго "отделил зерна от плевел", т. е. отделил коман- 
ДУ ВЕТМ ОТ кода з2н. Хорошо это или плохо? Вы удивлены, что я задаю та- 
кой вопрос? А представьте себе, что в исходном тексте просто была команда 
МО\ ЕВХ, М, ГДе М — некое число. И вот оказалось, что данное число попадает 
в адресный промежуток, но при этом вовсе не является адресом какой-либо 
команды. Но на этом основании дизассемблер делает вывод, что по указан- 
ному адресу располагается некая процедура. Конечно, такого рода ошибка 
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не несет в себе ничего серьезного, ведь никакого перехода на данный адрес 
нет. Впрочем, переходов на процедуры окон также нет, но там адрес опре- 
деляется по вызову одной из функций АР (см. разд. 1.3). Но, так или иначе, 
такое ошибочное обнаружение процедуры не несет в себе ничего серьезно- 
го. А вот если все же это действительно оказался адрес некоторый команды, 
куда затем "тайно" (о "тайных" переходах поговорим далее) будет произведен 
переход, то это может вам здорово помочь при анализе кода. Авторы ОА 
Рго довольно логично посчитали, что число, попавшее в диапазон адресов 
команд, с большой вероятностью является именно адресом, и сделали, на 
мой взгляд, правильный выбор. 


Продолжим наши экспериментальные исследования. Заменим команду моу 
ЕВХ, ОЕЕЗЕТ 11 На САЪ, 11. Как на это посмотрят наши дизассемблеры? Ра- 
зумеется, ША Рго отслеживает адрес процедуры и отмечает его в листинге. 
Программа Ше\.ехе, напротив, по-прежнему не распознает процедуры, хотя 
и показывает команду сатт.. Впрочем, что же с нее взять, основное предна- 
значение этой программы — совсем не дизассемблирование, это, так ска- 
зать, побочный продукт. Что касается \!32Оазт, то на этот раз дизассемблер 
не ударил лицом в грязь. Вот фрагмент листинга, который генерирует эта 
программа (листинг 1.35). 





/ ЕЖЖЖЖЖХКЖККЕККЖХКККХ Ргоадгам Епсгу РолпЕ ххжхххххх 


:00401000 ЕВ23000000 са11 00401028 
:00401005 6800104000 разр 00401000 
:0040100А 6А00 розв 00000000 


* Роз$1Ю1е 5&г1паорафа КеЁ Егом Пафа ОБ) ->"Меззаде" 


| 
:0040100С 680304000 разр 0040300С 


* Роз$1Ю1е 5ск1парафа ВеЁ Ёгом Паба Ор) ->"М№о ргоб1еш!" 
| 

:00401011 6800304000 разв 00403000 

:00401016 6А00 разв 00000000 


* ВеЁегепсе То: изех32.МеззадеВохА, Ога:01908 

| 
:00401018 Е8 00000000 Са11 0040102А 
:00401010 5А рор еах 
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:0040101Е 8162280000000 ааа еах, 00000028 
:00401024 ЕЕО2 са11 еах 
:00401026 С3 хех 

:00401027 32 ВУТЕ 328 


* ВеЕегепсеа Бу а САТГ ак Адагезз: 
1:00401000 

| 

:00401028 СЗ гее 


Как видим из листинга, дизассемблер \/32Оазт распознает адрес 004010281, 
как адрес процедуры ("Кеегепсеа Бу а САМ. а Адагез$ 00401000” — "Ссылка 
по команде САШ. с адреса 00401000"). 


Итак, дорогой читатель, как видно из приведенных примеров, в дизассемб- 
лировании кода есть определенные трудности. Никакой дизассемблер не 
сможет исчерпывающе проанализировать код, и исследователям кода хватит 
работы. 


"Тайные переходы" и тайны переходов 


Что я называю "тайным переходом"? Существуют следующие, наиболее час- 
то используемые, команды передачи управления: лмР, группа условных пе- 
реходов хх, сат., ВЕТМ, ГООР. Так вот, с помощью одной команды перехода 
можно имитировать совсем другую команду из этой же группы. Единствен- 
ной целью, с которой это может делаться, — запутать тех, кто анализирует 
код. Вот сейчас и займемся этим вопросом, чтобы уметь противостоять дан- 
ным уловкам. 


Обратимся к команде эмР. Это самая простая команда из записанного выше 
списка, конечно, если рассматривать переходы в рамках плоской модели 
памяти, с которой мы работаем в данной книге. Казалось бы, все предельно 
просто. Происходит переход по указанному адресу. При этом содержимое 
всех регистров (кроме ТР) не меняется. Но ведь кроме стандартного пере- 
хода оМР 11, где 11 — просто метка, есть еще косвенные переходы: 


С лмр ОмОво РТВ [10], где переменная 1о содержит некий адрес перехода; 
С р вх, где регистр Евх содержит адрес перехода; 


0 лмР рмовро РТВ [ЕВХ], ГДе регистр Евх содержит адрес переменной, кото- 
рая в свою очередь содержит адрес перехода. 
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Как, например, быть, если вы видите команду УМР ЕАХ, а что содержится в 
регистре ЕАХ — не знаете? Это содержимое могло быть сформировано за 
сотни команд от данной команды. В этой ситуации никакой дизассемблер 
вам не поможет. Есть лишь два выхода: вручную анализировать текст дизас- 
семблированной программы или прибегнуть к отладчику. Узнав, наконец, 
какой же адрес находится в регистре, вы можете снова обратиться к дизас- 
семблеру и написать в комментарии это значение. Такая функция уже давно 
реализована во многих современных дизассемблерах. Впрочем, мы забегаем 
вперед. В главе 2, когда мы будем рассматривать современные дизассембле- 
ры, поговорим и о таких возможностях. Для нас сейчас важно уяснить суть 
проблемы и подходы к ее решению. 


Проблема, однако, усложняется тем, что любая из перечисленных выше 
команд может "прикинуться" совсем другой. Например, команда тооР впол- 
не может играть роль короткого перехода (127 байтов вперед и 128 байтов 
назад), а не являться признаком наличия цикла. 


Вот некоторые примеры (листинг 1.36). 





‚ 586Р 
.МОРЕЬ ЕЪАТ, ЗТОСАЪЬ 
10с14е11Ъ ЕЁ: \пази32\115\пзех32.115 
ЕХТЕВМ МеззадеВохА@1 6: МЕАК 
_РАТА ЗЕСМЕМТ 
;здесь хранится просто адрес 
пет1 ОО ОГЕЗЕТ 12 
ТЕХТТ ОВ '№ ркоБ1ем!',0 
ТЕХТ2 ОВ 'Меззаде', 0 
_РАТА ЕМО$ 
_ТЕХТ ЗЕСМЕМТ 
ЗТАВТ: 
МОУ —ЕАХ, петп1 
;две следующие команды эквивалентны просто ФМР 12 
РОЗН ЕАХ 
ВЕТМ 
11: 
ВЕТМ 
12: 
РОЗН ОРЕЗЕТ 0 
РОЗН ОЕЕЗЕТ ТЕХТ2 
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РОЗН ОЕГЕЗЕТ ТЕХТ1 
РОЗН 0 
САЪТ, МеззадеВохА@16 
ВЕТМ 

_ТЕХТ ЕМОЗ 

ЕМО ЗТАВТ 


Программа из листинга 1.36 демонстрирует необычное для команды ВЕТ 
применение. Сочетание команд РОЗН/ВЕТ оказывается эквивалентно команде 
МР. Можно поступить и еще изощреннее, например, так: 


МОУ ЕАХ, пет] 

ЗОВ ЕБЗР, 4 

МОУ ОМОВО РТВ [ЕЗР],ЕАХ 
ВЕТМ 


И в результате опять обычный переход на адрес 12. При этом команды мо- 
гут быть перемешаны с другими командами, и попробуй тогда разберись, 
куда произошел переход. Самое главное здесь то, что трюки с переходами 
по адресам, которые хранятся в стеке, можно усложнять до бесконечности, 
ведь в стек можно поместить произвольное количество адресов переходов, а 
команды можно перемешивать в любом порядке. Так уж устроен ассемблер, 
что возможности в этом плане в нем просто безграничны. 


Аналогична ситуация с условными переходами. Дело в том, что часто про- 
верить, выполняется ли данное условие или нет путем просто анализа тек- 
ста, практически невозможно. В результате совершенно неясно, по какой 
ветке пойдет выполнение программы, и будет ли вообще выполняться одна 
из веток. Последовательности команд типа 


СМР ЕАХ, 100 
ЗА 11 
11: 


часто очень сложно разгадать, т. к. отследить, что может находиться в реги- 
стре ЕАх, иногда весьма трудно. По сути, команда зд может играть просто 
роль команды оМР, поскольку на деле число в регистре ЕАХ всегда может 
оказываться больше 100, а часть программы, которая идет после команды 
за, не иметь никакого смысла. Здесь только отладчик и может помочь. Хотя 
100-процентной уверенности все равно не будет, т. к. всегда можно считать, 
что возможна отличная от нуля вероятность выполнения программы по 


другому пути. 
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Прием, о котором я сейчас вам расскажу, называют перекрытием кода. 
Кратко суть приема в следующем. Часть кода команды может стать само- 
стоятельной командой, смысл которой разгадать не всегда просто. Вот 
фрагмент программы: 


МОУ АХ, 015ЕВН 

ЭМР $-2 

РОЗН ОЕРЕЗЕТ 0 

РОЗН ОЕЕЗЕТ ТЕХТ2 
РОЗН ОЕРЕЗЕТ ТЕХТ1 
РОЗН 0 

САБ МеззааеВохА@16 
11; 

ВЕТМ 


Не так-то просто сообразить, что код 015ЕВнН — это просто МР $НОВТ 11, и 
что в действительности команда моу Ах, 015ЕВН всего лишь маскирует этот 
переход на метку 11. 


Использование отладочной информации 


Мы сейчас обсуждали возможность запутывания следов, другими словами, 
защиту от тех, кто будет пытаться анализировать код с разными намерения- 
ми. Но есть ведь и другая сторона медали. Довольно часто требуется дизас- 
семблировать собственную программу, чтобы разобраться, как она работает, 
понять причину тех или иных ошибок. Для этого часто используется отла- 
дочная информация (см. разд. 1.5.7). 


Многие современные отладчики и дизассемблеры хорошо разбираются в 
отладочной информации и правильно реконструируют программу. Что каса- 
ется языка ассемблера, то, к сожалению, использование отладочной инфор- 
мации, на мой взгляд, — не слишком эффективно и в основном касается 
имен переменных. В принципе переменные и так не плохо идентифициру- 
ются таким дизассемблером, как ГРА Рго, который только разве не может 
узнать истинное имя переменной, если модуль не содержит отладочной ин- 
формации. 


Для того чтобы включить отладочную информацию при трансляции при 
помощи МА$М3З2, следует в командной строке т|.ехе указать ключ /21 — 
включить полную отладочную информацию, а в командной строке 
ПоК.ехе — ключ /рЕВОС. При этом отладочная информация добавляется в 
РОВ-файл (файл имеет имя транслируемого модуля и расширение раЬ, рго- 
огат Ааа Базе). Можно указать ключ /рРов:МОМЕ, Тогда вся отладочная ин- 
формация будет помещена в исполняемый модуль. Наконец, можно указать 
тип отладочной информации: /рЕВОСТУРЕ: {СУ|СОЕЕ} — СУ (Тип для отлад- 
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чика Соде\Ме\) или тип соЕЕ. Аналогично при использовании ассемблера 
ТАЗМ можно поместить отладочную информацию в исполняемый модуль. 
Для этого в командной строке 1а$1132.ехе указываем ключ /21 (вся отладоч- 
ная информация), а в командной строке ИшКЗ2.ехе — ключ /х. При выпол- 
нении данных действий вся информация о переменных, а также действиях с 
ними будет помещена в исполняемый модуль и, следовательно, может быть 
использована дизассемблерами и отладчиками. При этом замечу, что ин- 
формация сохраняется даже о переменных, которые никак не используются 
в программе. 


1.6.2. О динамическом изменении 
исполняемого кода 


Конечно, модифицируемый код с одной стороны противоречит канонам 
программирования, по которым код — это код, и его следует исполнять, а 
данные — это данные, и их следует читать, а также при желании модифици- 
ровать. Но ведь с другой стороны есть принцип фон Неймана, при грубой 
трактовке которого нет принципиальной разницы между данными и ко- 
дом — все это лишь последовательность байтов или битов (как кому нравит- 
ся). А потом, модификация кода — это великолепный прием, позволяющий 
сокрыть истинные намерения программы. 


Тот, кто программировал в операционной системе М$-0ОО$, знает, что мо- 
дификация кода во время исполнения — дело совсем простое. Там вы може- 
те менять содержимое ячейки вне зависимости от содержания в ней данных 
или кода. В операционной системе УЛ тдо\з код напрямую модифицировать 
запрещено. Нельзя исполнять и код, расположенный в сегменте данных или 
динамической области памяти. Для того чтобы это делать, программа долж- 
на исполняться в нулевом кольце защиты. Для обычной программы вроде 
бы все пути к модификации собственного кода закрыты. Однако выход есть, 
и не один. И это мы обсудим в данном разделе. 


Исполнение кода в стеке 


Исполнение кода в стеке, наверное, — самый оптимальный способ самомо- 
дификации программы. Дело в том, что страницы памяти, которые отводят- 
ся под стек, имеют атрибуты, позволяющие не только читать и писать туда 
данные, но и исполнять там код. Разумеется, при переносе код можно мо- 
дифицировать. Наконец, ассемблерные команды можно хранить и в сегмен- 
те данных, а затем перенести в стек и там выполнить. Использовать стек в 
языке высокого уровня хоть и можно, но с целым рядом оговорок. А на ас- 
семблере это можно сделать без особых трудностей. Впрочем, кое-какие 
проблемы могут появиться и здесь. 
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Итак, имеем следующую консольную программу (листинг 1.37). 





.586Р 

.МОРЕТ ЕЪАТ, ЗТОСАЬЕЬ 

1пс1а9е116 Е: \пази32\115\и$ег32.115 
ЕХТЕВМ МеззадеВохА@1 6: МЕАКВ 


_РАТА ЗЕСМЕМТ 

ТЕХТ1 ОВ 'Я в стеке!',0 
ТЕХТ2 ОВ 'Сообщение из стека',0 
_РАТА ЕМО$ 

_ТЕХТ ЗЕСМЕМТ 

ЗТАВТ: 

;вызвать процедуру 

САБЬ РВОС1 

ВЕТМ 

РВОС1 РКОС 

РОЗН 0 

РОЗН ОЕГЕЗЕТ ТЕХТ2 

РОЗН ОРЕЗЕТ ТЕХТ1 

РОЗН 0 

САЦ. МеззадеВохА@16 
ВЕТМ 

РВОС1 ЕМОР 

_ТЕХТ ЕМО$ 

ЕМО ЗТАВТ 


Пусть программа называется ргоё.азт. Откомпилируем ее: 
МЬ /с /соЕЕ ргод1 
ЛМК /ЗОВЗУЗТЕМ: СОМЗОЬЕ ргод1.053 


В результате появится исполняемый модуль ргов.ехе, при выполнении кото- 
рого на экране появится соответствующее сообщение. 


Попробуем теперь решить проблему "в лоб". Скопируем содержимое про- 
цедуры рРвос1 в стек и запустим ее там. Вот эта программа (листинг 1.38). 
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. 586Р 

.МОБЕЬ ЕЪАТ, ЗТОСАШГ 
1пс10ае11Ъ Ё: \пазт32\115\а$ег32.11ю 
ЕХТЕВМ МеззадеВохА@1 6: МЕАВ 
_РАТА ЗЕСМЕМТ 

ТЕХТ1 ОВ 'Я в стеке!',0 
ТЕХТ2 ОВ 'Сообщение из стека',0 
_РАТА ЕМО$ 

_ТЕХТ ЗЕСМЕМТ 

ОТАВТ: 

; подготовить стек 

МОУ ЕВР,ЕЗР 

МОУ ЕСХ, ОРЕЗЕТ 11 

30В ЕСХ, РКОС1 

; выделить место в стеке 
ЗИВ ЕЗР, ЕСХ 

;скопировать код 

МОУ ЕОТ, ЕЗР 

ТЕА ЕЗТ, РВОСТ 

СПО 

ВЕР МОУЗВ 

;вызвать процедуру из стека 
САБЫ ЕЗР 

;восстановить стек 

МОУ ЕЗР,ЕВР 

ВЕТМ 

РВКОС1 РВОС 

РОЗН 0 

РОЗН ОРГЕЗЕТ ТЕХТ2 

РОЗН ОРЕЗЕТ ТЕХТ1Т 

РОЗН 0 

САШ, МеззадеВохА@16 

ВЕТМ 

РКОС1 ЕМОР 

_ТЕХТ ЕМО$ 

ЕМО ЗТАВТ 
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Однако нас ждет разочарование. После запуска программы появляется со- 
общение ОС об ошибке. Попробуем разобраться, в чем здесь дело, обра- 
тившись к отладчику ОГ ЛУОВС. Запустив программу под управлением от- 
ладчика, выполним ее в пошаговом режиме. Дойдя до команды САТТ, ЕЗР, 
нажмем клавишу <Е7> и окажемся в том месте стека, куда была скопирова- 
на процедура. На первый взгляд, код скопировался корректно (см. фрагмент 
ниже). Однако что это? 


ОООСРЕВО 6А 00 РОЗН 0 
ОООСЕГЕВ2 68 08304000 РОЗН 403008 
ОООСРЕВ7 68 00304000 РОЗН 403000 


ОООСРЕВС 6А 00 РОЗН 0 
ОООСГЕВЕ ЕЗ 02000000 САЦ. 000СЕЕС5 
О00СЕЕСЗ С3 ВЕТМ 


Адрес, по которому осуществляется вызов процедуры, находится здесь же в 
стеке. Откуда здесь взяться какому-либо переходу на МеззадеВох? Все очень 
просто. В команде саьт МеззадеВохА@16 транслятор ассемблера подставляет 
относительные адреса. Вот оно что! Что же делать? Неужели придется кор- 
ректировать адрес при переносе в стек? К счастью, процедуру можно вы- 
звать и Так: тЕА ЕВХ,МеззадеВохА@16, САЬТ ЕВХ. Попробуем проверить. Пере- 
пишем программу (листинг 1.39). 





. 58 6Р 

.МОБЕТ ЕЪАТ, $ТОСАГГ, 

1пс104е116 Е: \пази32\110\и5ех32.115 
ЕХТЕВМ МеззадеВохА@1 6: МЕАВ 


_БАТА ЗЕСМЕМТ 

ТЕХТ1 ОВ 'Я в стеке!',0 
ТЕХТ2 ОВ 'Сообщение из стека',0 
_РАТА ЕМО$ 

_ТЕХТ ЗЕСМЕМТ 

ЗТАВТ: 

; подготовить стек 

МОУ ЕВР, Е5Р 

МОУ ЕСХ, ОГЕЗЕТ 11 

ЗОВ ЕСХ,РВОС1 

; выделяем место в стеке 
ЗОВ ЕЗР, ЕСХ 
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; скопировать код 
МОУ ЕОТ, Е$Р 

.ЕА ЕЗТ, РВКОС1 

сЬо 

ВЕР МОУЗВ 

;вызвать процедуру из стека 
САЬЬ ЕЗР 

; восстановить стек 
МОУ ЕЗР, ЕВР 

ВЕТМ 

РКОС1 РКОС 

РОЗН 0 

РОЗН ОЕГЕЗЕТ ТЕХТ2 
РОЗН ОГЕЗЕТ ТЕХТ1 
РОЗН 0 

ТЕА ЕВХ,МеззадеВохА@16 
САЬЬ ЕВХ 

ВЕТМ 

РВОС1 ЕМОР 

1: 

_ТЕХТ ЕМО$ 

ЕМО ЗТАВТ 


После трансляции запустим программу. На этот раз ошибка не появилась, 
НО ОКНО Мезз5адеВох вышло какое-то неожиданное. Точнее, без всяких над- 
писей. Попытка выполнить программу под управлением отладчика ни к че- 
му не приводит. Вернее, МЫ убеждаемся, что на этот раз вызов МеззадеВох 
будет осуществляться по правильному адресу. В чем же здесь дело? Прове- 
дем следующий эксперимент. Заменим в программе команду САТ, ЕЗР на 
САЬЬ РВОС1, Т. е. Проверим, а будет ли выполняться сама процедура? И о... 
удивление! Результат получается аналогичный. Что же вызвало ошибку? По- 
скольку раньше процедура выполнялась нормально, попробуем убирать по 
одной команде, которые мы добавили для копирования процедуры в стек, и 
выясним, как команда приводит, в конечном итоге, к ошибке. Оказывается, 
такой командой является 50В ЕЗР,ЕСХ. Ну, тут уж подозрение начинает за- 
крадываться к нам в душу. Что же в этой команде плохого? Сплошь и рядом 
такие команды используют и ассемблерщики, и компиляторы. Значение, 
которое хранится в ЕСХ, не велико, чтобы выйти за границы стека, да и 
ошибка в этом случае была бы другой. Наконец, доходит: адрес в стеке дол- 
жен быть кратен 4. У нас, очевидно, это условие не выполняется. Попробу- 
ем откорректировать содержимое сх прежде, чем вычитать его из Е$Р. Это 
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можно сделать разными способами. Например, так: $нь ЕСХ,2, т.е. умно- 
жит содержимое на четыре. А можно так (если четыре для вас — слишком 
большое число): АМО ЕСХ, ЕЕЕРЕЕГЕСН/$НЬ ЕСХ,1. В обоих случаях результат 
будет положительным, т. е. код в стеке заработает верно. Но проще исполь- 
зовать директиву АЪТСМ 4, так чтобы адреса рРвос1 и 11 оказались выровне- 
ны По двойному слову. Вот окончательный вариант программы 
(листинг 1.40). 





. 586Р 

.МОРЕГ ЕЦАТ, ЗТОСАШБЬ 

11с1а4е116 ЕЁ: \пазм32\115\1$ег32.11Ъ 
ЕХТЕВКМ МеззадеВохА@1 6: МЕАВ 


_РАТА ЗЕСМЕМТ 

ТЕХТ1 ОВ 'Я в стеке!',0 
ТЕХТ2 ОВ 'Сообщение из стека'!,0 
_РАТА ЕМО$ 

_ТЕХТ ЗЕСМЕМТ 

ЭТАВТ: 

‚подготовить стек 

МОУ ЕВР,Е$Р 

МОУ ЕСХ, ОРГЕЗЕТ 11 

ЗОВ ЕСХ, РВОС1 

; выделяем место в стеке 
ЗОВ ЕЗР,ЕСХ 

; скопировать код 

МОУ ЕШОТ, Е$Р 

ТЕА ЕЗТ, РВОС1 

СЬо 

ВЕР МОУ$В 

;вызвать процедуру из стека 
САШТ, ЕЗР 

‚восстановить стек 

МОУ ЕЗР, ЕВР 

ВЕТМ 

АБТСМ 4 

РКОС1 РВОС 
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РОЗН 0 

РОЗН ОЕГЕЗЕТ ТЕХТ2 р 
РОЗН ОРЕЗЕТ ТЕХТТ 

РОЗН 0 

ТЕА ЕВХ,МеззадеВохА@16 
САГЬ ЕВХ 

ВЕТМ 

РВОС1 ЕМОР 

АБТСМ 4 

Г]: 

_ТЕХТ ЕМО$ 

ЕМО ЗТАВТ 


Итак, все достаточно просто, если следовать правилу: вызов процедур с по- 
мощью регистра и выравнивание кода по границе, кратной четырем. 


Существует и еще одна проблема. Как быть с переходами? Если переход ис- 
пользует четырехбайтовый адрес, который должен находиться в перемещае- 
мом фрагменте, то код в стеке не будет работать корректно. Но и здесь име- 
ется очень простое решение: все такие переходы должны быть короткими 
(зновт). Причем ничего, собственно, делать и не надо, поскольку ассемблер 
автоматически делает все переходы короткими, если они производятся в 
пределах 128 байтов. Вам надо только обеспечить, чтобы все нужные пере- 
ходы и вызовы процедур осуществлялись в этом промежутке. 


Используем функцию И/ЛеРгосез$Метогу 


Еще один способ модификации кода во время исполнения — это использо- 
вание АР[-функции их1хеРгосез$Мемоку. С ее помощью можно писать дан- 
ные в адресное пространство процесса. Область, куда предполагается пи- 
сать, должна быть доступна для записи, в противном случае записи не 
произойдет, и функция возвратит нулевое значение (в случае успешной 
записи функция возвращает 0). Рассмотрим подробно параметры данной 
функции: 

С 1-й параметр — дескриптор процесса, в память которого мы намереваем- 

ся писать; 


9 2-й параметр — адрес в памяти процесса, куда мы намереваемся писать; 


С 3-й параметр — указатель на буфер с данными, откуда будут браться дан- 
ные для записи в память процесса; 


С 4-й параметр — количество байтов, которые будут записаны; 
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О 5-й параметр — указатель на переменную, куда будет помещено количе- 
ство байтов, записанных в память процесса. Если параметр равен 0, то он 
будет проигнорирован. 


Как мы уже сказали, прежде чем писать в память процесса, мы должны по- 
лучить дескриптор процесса. Для этого достаточно открыть процесс при по- 
мощи Функции ОрепРгосезз. Данная функция используется всякий раз, 
когда какая-то другая функция требует для выполнения дескриптор процес- 
са. Разберем параметры функции: 


О 1-й параметр — желаемый уровень доступа к процессу. Все уровни до- 
ступа выражены константами и перечислены в документации и заголо- 
вочных файлах. Имена этих констант начинаются с префикса рРВОСЕЗ$$ _. 
Нам понадобится комбинация двух констант рВОСЕЗ$_\УМ_ОРЕВАТТОМ И 
РВОСЕЗ$ УМ ИВТТЕ; 


О 2-й параметр — принимает два значения: |, и тогда дескриптор может 
наследоваться, и 0, и тогда дескриптор не может наследоваться; 


О 3-й параметр — идентификатор процесса, который мы хотим открыть. 


Наконец, последнее, что следует отметить, — это как мы получим идентифи- 
катор процесса. Поскольку мы рассматриваем конкретную задачу записи в 
собственный код, то можно использовать АР1-функцию сеЕСиггепеРхосеззтТа. 
Это функция без параметров и возвращает идентификатор вызывающего его 
процесса. 


Итак, все объяснения сделаны, а пример программы, которая модифицирует 
собственный код, представлен в листинге 1.41. В консольной программе по 
адресу ВЕТЕ записывается код сзн. Если это не сделать, то будет выполнять- 
ся бесконечный цикл, и программа никогда не закончит свою работу (без 
воздействий извне). 





.586Р 

.МОРЕЪ ЕЪАТ, ЗТОСАТ, 
РВОСЕЗ$ УМ ОРЕВАТТОМ = 0008Н 
РВОСЕ$$ УМ ИВТТЕ = 0020Н 


РКОСЕЗ $ УМ ОИ РВКОСЕЗ $_УМ ОРЕВАТ ТОМ ОВ РКОСЕЗ $ УМ ИВТЕ 
1пс1аае11Ь Е: \пази32\11Ю0\а5ег32.115 

1пс1аае11Ь Е: \паза32\115\ХКегпе132.11Ь 

ЕХТЕВМ ОрепРгосе55@12 ; МЕАВ 
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ЕХТЕВМ Мг1беРгосез$Мепогу@20:МЕАК 
ЕХТЕВМ сееСаггепЕРгосез$19а8@0:МЕАВ 


_РАТА ЗЕСМЕМТ 
ОРС БВ ОСЗН 
_РАТА ЕМОЗ 
_ТЕХТ ЗЕСМЕМТ 
ОТАВТ: 
САШЬ СезСаггеп®Ргосез$14@0 
;в ЕАХ идентификатор текущего процесса 
РОЗН ЕАХ 
РОЗН 1 
РОЗН РВОСЕЗ$ УМ ОМ 
САШ, ОрепРгосез3@12 
;в ЕАХ дескриптор открытого процесса 
РОЗН 0 
РОЗН 1 
РОЗН ОЕЕЗЕТ ОРС 
РИЗН ОРЕЗЕТ ВЕТЕ 
РОЗН ЕАХ 
САЬЬ Иг16еРгосезМетогу@20 
ВЕТЕ: 
ЭМР ВЕТЕ 
ВЕТМ 
_ТЕХТ ЕМОЗ 
ЕМО ЗТАВТ 


Замечание 


После того как дескриптор какого-либо объекта был использован, его следует 
закрыть при помощи функции С1озеНапа1е, но в нашем случае при выходе из 
программы система все равно закрывает все дескрипторы. 


Конечно, использование функции иг1+еРгосеззМетогу имеет ряд недостат- 
ков По отношению к исполнению кода в стеке. Прежде всего, с помошью 
данной функции вы исправляете код текущего процесса, но не можете уве- 
личить объем памяти, чтобы добавить новый код. Кроме этого, исполнение 
кода в стеке обладает, я бы сказал, большей скрытностью, нежели использо- 
вание функции ихг1хеРгосезМетогу, Которую легко обнаружит любой мало- 
мальски разбирающийся исследователь кода. 
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Используем функцию Уйша/РгуецЕх 


Вместо того чтобы писать в память процесса с помощью функции 
Их1сеРгосеззМемогу, МОЖНО ВОСПОЛЬЗОВаться АР]-функцией У1гЕла1Рготес\Ех 
и разрешить доступ к нужным байтам (страницам, на которых располагают- 
ся байты), а потом воспользоваться обычной командой моуУ. 


В листинге 1.42 представлена программа, по строению такая же, как из лис- 
тинга 1.41, но в данном случае используется функция У1геза1РготескЕх. 
Как и в предыдущем случае, по адресу ВЕТЕ записывается байт сзн, но те- 


перь для этого применяется простая команда моУ. 





.586Р 
.МОБЕГ ЕТАТ, ЗТОСАЬЬ 
РВОСЕ$5 УМ ОРЕВАТТОМ = 0008 Н 


РВОСЕ$5_\УМ ИВТТЕ = 0020Нн 
РВОСЕЗ$ УМ ОМ = РВОСЕЗ$ УМ ОРЕВАТТОМ ОВ РВОСЕЗ$ УМ ИВТТЕ 
РАСЕ_ИВТТЕСОРУ = 8 


РАСЕ_ЕХЕСОТЕ 108 
11Сс]1иае11Ъ ЕЁ: \пазт32\116\15ег32.115 
10с1аае11Ъ Е: \пазт32\115\Кехпе132.115 
;импортируемые функции 

ЕХТЕВМ ОрепРгосез$@12:МЕАВ 

ЕХТЕВМ Е1а$5Тп$Егис1опСасВе@12 :МЕАКВ 
ЕХТЕВМ У1г6па1Рхго*ескЕх@20: МЕАВ 
ЕХТЕВМ СееСиггепЕРгосезТа8@0: МЕАВ 


_РАТА ЗЕСМЕМТ 

НАМРЬЕ Ор? 

ММ ББ ? 

_РАТА ЕМО$ 

_ТЕХТ ЗЕСМЕМТ 

ЭТАВТ: 
САЬ СееСоггепЕРхгосезТа@0 

;открыть текущий процесс 
РИЗН ЕАХ | 
РОЗН 1 
РОЗН РВОСЕ$5_УМ_ОМ 
САЦ. ОрепРгосез$@12 
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;ф разрешить копирование байта по адресу ВЕТЕ 
МОУ НАМОБЕ, ЕАХ 
РИЗН ОГЕЗЕТ ММ 
РОЗН РАСЕ_МВТТЕСОРУ 
РОЗН 1 
РОЗН ОЕГЕЗЕТ ВЕТЕ 
РОЗН ЕАХ 
САБТ, У1геоа]РгокесЕЕх@20 
; изменяем байт по адресу ВЕТЕ 
ТЕА ЕАХ, ВКЕТЕ 
МОУ ВУТЕ РТВ [ЕАХ],ОСЗН 
; возвращаем байту первоначальный атрибут 
РОЗН ОЕЕЗЕТ ММ 
РОЗН РАСЕ_ ЕХЕСОТЕ 
РОЗН 1 
РОЗН ОЕГЕЗЕТ ВЕТЕ 
РОЗН НАМОГЕ 
САШ, У1гсоа1Ргокес%Ех@20 
; сбрасываем кэш 
РОЗН 1 
РОЗН ОЕГЕЗЕТ ВЕТЕ 
РОЗН НАМОГЕ 
САЦ, Е] а Топ госе1опСасве@12 
ВЕТЕ: 
УМР ВЕТЕ 
ВЕТМ 
_ТЕХТ ЕМО$ 
ЕМО ЭТАВТ 


Разберем параметры функции У1гЕца1 РгофесЕЕх: 


СО 1-й параметр — дескриптор процесса, память которого мы намереваемся 
модифицировать; 


С 2-й параметр — адрес области памяти, атрибут которой будем изменять; 


С 3-й параметр — размер изменяемой области. При этом изменяется атри- 
бут у всех страниц памяти, содержащие байты изменяемой области; 


С 4-й параметр — устанавливаемые атрибуты (см. листинг 1.42); 


С 5-й параметр — адрес переменной, которая получит старый атрибут пер- 
вой из страниц (если их несколько). 


Введение в дизассемблирование 145 


В программе встречается еще одна незнакомая нам функция. Это — 
Е1а$ЬТпзегосе1опСасье. Она нужна, чтобы очистить буфер, содержащий 
команды. Если этого не сделать, вполне вероятно, что процессор будет ис- 
пользовать для выполнения старые команды, "не заметив" изменения в па- 
мяти. Вот параметры этой функции: 


О 1-й параметр — дескриптор процесса, память которого мы меняем; 
О 2-й параметр — адрес области, которую мы изменили; 


СО 3-й параметр — размер изменяемой области. 


ж * * 


И на этом я закончу обсуждение вопроса о модификации исполняемого ко- 
да. Не забывайте об этой возможности, когда приступаете к анализу кода. 


Глава 2 





Инструментарий исследователя 
машинного кода 


Данная глава посвящена различным программным инструментам, которые 
используются при исследовании и исправлении исполняемых модулей. 


2.1. Краткий обзор инструментов 


Дадим краткий обзор инструментов, наиболее часто применяемых при ис- 
следовании кода, а также рассмотрим несколько простых примеров исполь- 
зования этих инструментов. 


Некоторые программы, о которых пойдет речь, созданы энтузиастами- 
одиночками! и живут недолго. Моя задача — не столько описать эти про- 
граммы, сколько указать, какие инструменты для исследования исполняе- 
мого кода существуют, и что от них можно получить. Принципы использо- 
вания таких программ во многом совпадают. Например, все отладчики 
реализуют такой инструмент исследования кода, как точка останова. Позна- 
комившись с принципами работы одного отладчика, вы достаточно легко 
сможете использовать в своей работе и другие подобные программы. 


2.1.1. Дизассемблеры 


Программа дитрЫт.ехе 


Программа дитрЫп.ехе входит в состав пакета У15иа| ЗаЧ1ю .МЕТ и исполь- 
зуется для исследования загружаемых и объектных модулей СОЕЕ-формата, 
выводя информацию в текущую консоль. Разумеется, консольный вывод 


ГЯ не использую в книге термин "хакер", поскольку его употребляют в самых раз- 
ных значениях. Хакером называют и программиста высокого класса, и преступника, 
который подбором паролей снимает деньги со счетов своей жертвы, часто не имея 
никакого представления о программировании. 
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всегда можно перенаправить в текстовый файл, получив, таким образом, 
возможность подробно изучить дизассемблированный текст. Несмотря на 
свою консольную природу, данная программа работает довольно толково и 
вполне годится для анализа небольших программ. 


Ключи программы: 


О 


[№ 


/АГТ, — выводит всю доступную информацию о модуле, кроме ассемб- 
лерного кода; 


/АВСН — ВЫВОДИТ СОДержимое секции .агсй заголовка МОДУЛЯ, 


/АВСНТУЕМЕМВЕВ$ — ВЫВОДИТ минимальную информацию об элементах 
объектной библиотеки; 


/РЕРЕМОЕМТ$ — выводит Имена динамических библиотек, откуда модулем 
импортируются функции; 


/ОТВЕСТТУЕ$ — выводит содержимое секции .Агесуе, создаваемой компи- 
лятором (только для объектных модулей); 


/рт5АЗМ — дизассемблирует содержимое секций модуля с использовани- 
ем символьной (отладочной) информации, если она присутствует; 


/ЕХРОВТ$ — ВЫВОДИТ эКСсПортируемые модулем имена, 


/ЕРО — выдает на консоль информацию о ЕРО (йате роицег орипитайоп, 
оптимизация указателя стека) оптимизации; 


/НЕАБЕВ — выдает на консоль заголовки модуля и всех его секций. В слу- 
чае объектной библиотеки выдает заголовки составляющих ее объектных 
модулей; 


/ТМРОВТ$ — ВЫВОДИТ ИМена, импортируемые данным модулем, 


/ЪТМЕМОМВЕВ$ — выдает на консоль номера строк объектного модуля, ес- 
ли таковые имеются, 


/ЪОАБСОМЕТС — программа выводит структуру ТМАСЕ_ТОАБ СОМЕТС ОТВЕСТОВУ, 
которая используется загрузчиком и которая определена в файле \УПУМТ.Н; 


/.ТМКЕВМЕМВЕВ [ : {1|2}] — выводит все имена в объектной библиотеке, 

определяемые как ру; 

® /11МКЕВМЕМВЕВ:1 — В Порядке следования объектных модулей в биб- 
лиотеке; 

® /1МКЕВМЕМВЕВ:2 — вначале выдает смещение и индекс объектных мо- 
дулей, а затем список имен в алфавитном порядке для каждого модуля; 

» /.1МКЕВМЕМВЕВ — сочетание ключей [и 2; 


/оот — определяет, что вывод осуществляется не в консоль, а в файл 
(например, /оот:ЕО.ТХТ). Конечно, перенаправить вывод в файл можно, 
просто используя знак >; 
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С /РРАТА — выводит содержимое таблиц исключения (для К1$С-процес- 
соров); 


С /вАИРАТА — выдает дамп каждой секции файла. Разновидности данного 
ключа: /вВАМОАТА:ВУТЕ, /ВАИРАТА: $НОВТ$, /ВАИРАТА: .ОМ№С$, /ВАМОАТА: МОМЕ, 
/ВАИРАТА: , пишфег. Здесь пишег определяет ширину строк; 


/ВЕТОСАТТОМ$ — ВЫВОДИТ все перемещения в таблице перемещений; 
/ЗЕСТТОМ: зесЕ1ол — определяет конкретную анализируемую секцию; 


/50ММАВУ — выдает минимальную информацию о секциях; 


ооо 


/зумвоь$ — выдает таблицу символов СОЕЕ-файла. 
Пример использования: 


ЧитрЬ1п /41заза ргоа.ехе >ргод.ЕхЕ 


В текстовый файл ргоР.{4х( будет выведен дизассемблированный код про- 
граммы. 


Особенностью программы АитрЫпт.ехе является то, что она дизассемблирует 
только секции с известными ей именами (см. разд. 1.5.3). Если вы поместите 
исполняемый код в секцию с произвольным (не предопределенным име- 
нем), то программа не будет выводить дизассемблированный код, хотя дамп 
и выведет. 


В качестве интересного примера рассмотрим исследование с помошью 
программы аитрЫп.ехе таблицы перемещений (см. разд. 1.5.3) динамиче- 
ской библиотеки. Для примера я взял очень простую динамическую библио- 
теку, написанную на ассемблере. Пусть название библиотеки ргор.4П. Вы- 
полним команду 


Чотрр1п /915$азм ргод.а11 
Ниже представлены строки, являющиеся дизассемблированным текстом ис- 


полняемого кода модуля. Для некоторых строк я дописал также свой ком- 
ментарий. 


10001000: В8 01 00 00 00 пох еах, 1 ;‚ начало процедуры входа 

10001005: С2 0С 00 гее ОСП 

10001008: 55 разв ебр ; начало экспортируемой 
; функции 

10001009: 8В ЕС пох ебр, езр 

10001008: 83 7Р 08 01 стр Чмога рег [ебр+8],1 

1000100Е: 75 13 )пе 10001024 

10001011: 6А 00 разв 0 

10001013: 68 26 30 00 10 разв 100030265 


10001018: 68 ЗЕ 30 00 10 ри$В 1000303ЕВ 
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10001010: 6А 00 разв 0 

1000101Е: ЕЁ 04 00 00 00 са11 10001028 ;вызов функции АРТ 
10001024: 55 рор еьр 

10001025: С2 04 00 гее 4 


10001028: ЕЕ 25 00 20 00 10 ]т Чмога рег 4$; [100020001] 


А теперь выведем таблицу перемещения и выясним, в каких командах будут 
подправляться адреса при загрузке данной динамической библиотеки. Для 
этого выполним команду 


ЧитрЬ1п /ге1осае1оп$ ргод.а11 
Вот результат выполнения команды: 
ВАЗЕ ВЕГОСАТТОМ$ #4 


1000 ВУА, 10 51хе0ЕВ1оск 

14 НТСНЬОЙ 10003026 
19 НТСНЬОЙ 1000303Е 
2А — НТСНГОМ 10002000 


Интересен в первую очередь левый столбец, содержащий смещение операн- 
да, который должен быть учтен при загрузке динамической библиотеки в 
память. Например, смещение 14 означает, очевидно, адрес 10001014, т. е. 
мы попадаем на команду разв 100030265. Операнд этой команды, таким 
образом, представляет адрес, который должен быть откорректирован, если 
динамическая библиотека будет загружаться по базовому адресу, отличному 
от 100000001. 


Знаменитый дизассемблер РА Рго 


Этот знаменитый и никем не превзойденный дизассемблер будет рассмот- 
рен нами в главе 5. На момент написания данной книги существует уже вер- 
сия 4.8 этого продукта. За неимением этой версии я рассматриваю версию 4.7, 
появившуюся полгода назад. Впрочем, судя по информации, которая опуб- 
ликована на сайтах ВИр://мм\м 44арго.ги и В@р://муу 1дарго.сот, различия в 
версиях несущественны, во всяком случае, с точки зрения задач, которые 
стоят перед вашим покорным слугой. Замечу кстати, что 1ЛА Рго является 
также и отладчиком, но поскольку функции дизассемблирования все же ос- 
новные, мы и далее будем говорить об этой программе как о дизассемблере. 


Дизассемблер \!32)азт 


Данному дизассемблеру будет посвящен отдельный разд. 2.2 — скромнее, 
чем об ЛА Рго. Эта программа, обладающая, как и ГРА Рго, возможностя- 
ми отладки, по-видимому, болыше не разрабатывается. Во всяком случае, 
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версия 10, которую мы и будем рассматривать, создавалась уже, судя по 
всему, не авторами проекта. В Интернете вы также можете встретить тоже 
весьма хорошую версию 8.98. 


Специализированные дизассемблеры 


Что я понимаю под специализированными дизассемблерами? Это дизас- 
семблеры, ориентированные на определенные компиляторы. Речь идет не о 
декомпиляторах. Перевод исполняемого кода в исходный текст программы, 
т.е. декомпиляция, в общем случае невозможен. Специализированные ди- 
зассемблеры распознают структуры языка — классы, события, методы и др., 
и дизассемблируют их. Чаще всего в этой связи упоминается Оеры, т. к. 
анализ программ, написанных на этом языке с помошью обычного дизас- 
семблера, весьма затруднителен. Единственной программой, известной ав- 
тору, которая неплохо справляется с программами, написанными на языках 
Перш и С ВийЙдег, является дизассемблер ОеОе (по-видимому, это Берш 
Оесотр!ег). Сайт создателя данного дизассемблера располагается по адресу 
Вр: //дайхег.сЬ.пе(/. 





Рис. 2.1. Окно программа ОеОе.ехе, 
представляющее дизассемблированный текст события нажатия 
одной из кнопок окна исследуемого приложения 
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С помошью программы Оере в течение нескольких минут вы получите 
полное представление об иерархии объектов программы, а главное — смо- 
жете просмотреть ассемблерный код любого события, например, нажатие 
кнопки, или события, связанного с созданием формы. На рис. 2.1 вы може- 
те видеть одно из окон программы, которое содержит дизассемблированный 
текст события нажатия кнопки. 


2.1.2. Отладчики 


Отладчики — это программы, позволяющие в пошаговом режиме выполнять 
программы в машинном коде. Все известные системы программирования, 
как правило, имеют свои встроенные отладчики, мы о них говорить не бу- 
дем. Наша задача — рассмотреть независимые, если так можно сказать, ин- 
струменты отладки. Большинство современных отладчиков понимают струк- 
туру отладочной информации основных компиляторов, если таковая 
присутствует в отлаживаемом модуле. В этом случае они способны отлажи- 
вать программу как на уровне ассемблерного кода, так и на уровне текста 
программ, что, конечно, облегчает анализ. Однако такая ситуация встреча- 
ется далеко не часто — кому надо оставлять в рабочем пакете отладочную 
информацию, разве только начинающему программисту. 


Еще одна особенность современных отладчиков — это появление в них эле- 
ментов, свойственных дизассемблирующим программам: распознавание биб- 
лиотечных и АР[-функций, возможность корректировать текст и писать 
комментарии?. Налицо, таким образом, сближение дизассемблеров и отлад- 
чиков. Так как ранее мы говорили, что и многие дизассемблеры имеют воз- 
можность выполнять модуль в режиме отладки, то сближение, как видим, 
происходит с двух сторон. Как в последствии мы неоднократно убедимся, 
что наиболее эффективным является исследование исполняемого кода при 
параллельном использовании и отладчика, и дизассемблера. 


ТчгБо Оебиддег 


Тигфо Оебиррег — один из самых популярных отладчиков 1990-х годов и в 
настоящее время, к сожалению, фирмой ВоЙапа не поддерживается. Вер- 
сия же середины 90-х годов прошлого века, которая свободно распростра- 
няется в Интернете, весьма неустойчиво работает в операционных систе- 
мах \Мшдо\$ МТ/2000/ХР/Зегуег 20033. Между тем, для отладки небольших 


? Впрочем, отладка ведь осуществляется уже над ассемблерным текстом, так что на- 
чальное дизассемблирование любой отладчик и так осуществляет. 

3 Вот что можно прочесть на сервере фирмы Войапа: "Тпе Тигбо Оебиввег 15 ргом4еа 
"аз 15," \ИНойЕ \аггату оЁ апу Км. ВоПап4 4оез поё оЙег 4есбмса! зиррой ог ассер! 
би героп$ оп 115 уегмоп ап4 И \%Ш по 6е ирдае4 ог ирвгадед. ТПе 1а4ез6, зарроце4 
уегзоп оЁоиг 4еБиррег 15 ауайае т Войапа С++Вийдег". 
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простых приложений и в учебных целях этот отладчик вполне можно ис- 
пользовать (рис. 2.2). 





Рис. 2.2. Окно отладчика Тигбо Оебиддег 
с загруженной в него программой 


ОеБидадтд Тоо1|$ Тог М/паом$ 


Программы Ребизрше Тоо5 юг У/тао\5 входит в пакет "Те Мисгозой® У/т- 
40\5® Римег Оеуе!ортет Ки (ООК) юг У\тдомз ХР". Некоторое время на- 
зад этот пакет можно было свободно скачать непосредственно с сайта фир- 
мы Мисгозой: в@р://му\м.писго5ой.сот. Данный инструментарий позволяет 
отлаживать как обычные приложения, так и драйверы режима ядра. В пакет 
входит программа улпа6?.ехе (версия 6.0), имеющая графический интерфейс. 
В нашу задачу не входит изучение данного отладчика. Замечу только, что 
при отладке основным является событийный механизм: вы ставите точки 
прерывания (останова, ОгеаКро!1{5) на выполнение какой-либо функции АР! 
или обращении к какой-либо области памяти загруженного отладчиком 
приложения, а далее запускаете отладку и работаете в данном приложении, 
пока работа не прервется обращением к отслеживаемой функции или облас- 
ти памяти. После этого вы находите в отладчике код, который осуществил 
обращение к функции или памяти, и анализируете этот фрагмент. В общем, 
такой работой мы будем заниматься в главе 4, когда подробно будем гово- 
рить об отладчике Зо СЕ. 


9... 1!О 
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— 
\МочЕоад: 0027000 
МодроаЯ: 00743000 : 
МодГоаЯ; 10000000 10003000 :\Ргодтат ЕР: 1е5`Раг\Р1ча1из`Ми} 6 :Атс\Рогиахв“Асе. Рих 
ЗМодгозЯ: 00250000 007530060 :УРгодгат Р:1ез\Раг\Р1ичтиз Ми 1Аго\Ротшаее“Аг) Риф 
ЗМо9ТоаЯ: 00760000 00165000 : Е:] ев \Раг\Р1 \Ма1 1 Агс\Е Саь 
Моаова: ОПЕ7ООО ана х т 
МодТоаЯ; 0090000 (8 
ЭмоатоаЯ: 0020000 


| 

модов: 00250007 (реа ; Ч 

МоаговЯ: 00750000 М е805000000 0431} РгорегоуГепчЕВАзУатаи+0х44 (77: 
7 


МодроаЧ: 00240000 177766998 8545е0 эах, [е6р-0х20} 

Амодтозя: бОРебооя П77Е66&8ь е851300300 1591 \исетонрз+0ка8 {[77Е994ЕЁ) 
Мовтоза: 76300008 7765420 ©21000 010 

{880.4а:}: Втеак 31177266983 8379е400 Чисга рег [еЪр-0х1],0х0 
Воах=7ЕЕАЕООЯ орх-0( 77 6бЧа7 7408 21911 РгорегеуГепа В АзУаглаит+0х5Ь (772 
ы:р-77С66ЦЫВ ыър=б |772664а8 ГЕ75Ф4 Чик рек [еЪр-0х1] 

58-0016 33-0023 ны ева 9сЕеЕЕ 1591114г0810а9011 (77Е50а8а) 





|и»* ЕРВОВ: Зущьот 1776681 ©3 
1091] 238: еаЕРози! И 5911 Ве изсодеСв 110448; 


7 7ЕЬБаЬВ сс 1776642 220400 тес 9х4 
177Е656ЧЬС се за 
Т72Е6ЬЧЬБ со 108 
а 


те И 77РЬбаЬа ВЫЕЕ 41 „ел 
ва и Г рБЗвегВтеакРоз ит: 
вол: чае И В64рс се 3 





Рис. 2.3. Графический интерфейс программы мипаБд.ехе 


Отладчик ОПу0Ьд 


Отладчик ОПУОЬ» один из лучших в настоящее время отладчиков приклад- 
ных программ. Подробнее о нем будем говорить в разд. 2.3. Англоязычный 
форум, посвяшенный данному отладчику, можно найти по адресу 
Вр: //оПуд?.мт32азтсоттипйу.пе/$ирй/. Официальный сайт (адрес 
ВЫр://воте.(-опйле.4е/поте/ОПу4Ь?) автора программы уже некоторое время 
не функционирует. Имеется также сайт В@р://ммм.оПу@Ь?.4е/. 


Мощный отладчик Зо СЕ 


Да, великий и ужасный Зо[СЕ. Разработчиком данного продукта является 
фирма МичМера Таб. В 1997 г. она была куплена корпорацией Сотри\аге. 
Название Зо СЕ неслучайно. Дело в том, что когда активизируется данный 
отладчик, все программное обеспечение компьютера "замораживается". Вы 
получаете мгновенный снимок со всей системы. Глава 4 будет полностью 
посвящена описанию этого замечательного продукта. 


Информацию об отладчике, а также других продуктах МиМера [аб можно 
найти по адресу В@р://м\м.сотримаге.сот/ргодис 6 /питерга.Неп. 
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2.1.3. НЕХ-редакторы 


Что это такое НЕХ-редактор? НЕХ (от англ. йехадеста!) означает шестна- 
дцатеричный, т.е. это редакторы, работающие с шестнадцатеричными 
числами, точнее, данными в шестнадцатеричном формате. Чаще всего 
речь идет о редактировании файлов, но это также могут быть и области 
диска. Однако более продвинутые программы обладают возможностью ди- 
зассемблировать двоичный код и делать исправления указанием мнемони- 
ческих имен команд. 


ММпНех 


Программа обладает поистине фейерверком возможностей: 


0 может работать с файлами и различает при этом множество форматов, вы- 
полняет также различные операции над файлами: шифрование, сравне- 
ние, разбивку и объединение файлов и многое другое; 


С может работать с диском на низком уровне; программа незаменима при 
восстановлении потерянных файлов; 


С может редактировать файлы, расположенные непосредственно в памяти. 


Сайт создателей данной программы расположен по адресу В@р://м\мм.х- 
муау$.пе/. Однако возможности дизассемблирования у программы отсутст- 
вуют, что несколько снижает ее шансы в исследовании кода. 


Наскег Мемег 


Данная программа (Ше\м.ехе) широко известна в среде программистов, 
занимающихся исследованием, да и исправлением исполняемого кода. На- 
звание программы происходит от фразы "НасКег$ ме\м". Основная задача, 
которую выполняет данная программа, — просмотр и редактирование за- 
гружаемых модулей. Причем просмотр и редактирование допускаются в трех 
вариантах: двоичный, текстовый и ассемблерный. 


Программа имеет консольный интерфейс (рис. 2.4). Все команды выполня- 
ются при помощи функциональных клавиш (в том числе в сочетании с кла- 
вишами <Ай> или <СШ>). Например, нажимая клавишу <Е4>, вы получае- 
те возможность выбрать способ представления двоичного файла: текстовый, 
ассемблерный или двоичный. Нажимая клавишу <Е3> (при условии, если 
вы находитесь в двоичном или ассемблерном просмотре), получаете воз- 
можность редактировать файл. Если же, находясь в ассемблерном просмот- 
ре, вы после нажатия клавиши <Е3> нажмете еще и клавишу <Е2>, то смо- 
жете редактировать машинную команду в символьном виде. Мы не будем 
далее останавливаться на командах данной программы, поскольку они про- 
сты, очевидны и могут быть получены по нажатию клавиши <Е1>, а перей- 
дем сразу к простому примеру использования данной программы. 
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Рис. 2.4. Интерфейс программы Ше\м.ехе 


В листинге 2.1 представлена простая консольная программа на языке ас- 
семблера, выводящая на экран текстовую строку. 





. 586Р 
.МОРЕТ, ЕЪАТ, $&аса11 


;уконстанты 
$ТО ООТРОТ_НАМРЬЕ еаа -11 
ТМУАТТО НАМОТЕ УАГОЕ еац -1 
; прототипы внешних процедур 
ЕХТЕВМ Сее5еаНапа1е@4:МЕАК 
ЕХТЕВМ Мг1сеСопзо1еА@20:МЕАВ 
ЕХТЕВМ Ех1ЕРгосе$$5@4:МЕАВ 
; директивы компоновщику для подключения библиотек 
1п0с1аае11Ь ЕЁ: \пазм32\116\азех32.11 
1пс1аае11Ь ЕЁ: \пазм32\11р\кегпе132.11 
;сегмент данных 
_БАТА ЗЕСМЕМТ 
ВОЕ ОВ "Строка для вывода", 0 


ЪЕМ$  ОМОВО ? ;уколичество выведенных символов 


Инструментарий исследователя машинного кода 157 


НАМОТ БМОВО ? 
_РАТА ЕМОЗ 
; сегмент кода 
_ТЕХТ ЗЕСМЕМТ 
ЗТАВТ: 
; получить НАМОЪЬЕ вывода 
РОЗН $ТО_ОЧТРУТ_ НАМОБЕ 
САБЬ беезЕаНапа1е@4 
СМР ЕАХ, ТМУАРТЬ НАМОЬЕ УАБОЕ 
МЕ _ЕХ 
МОУ НАМОГ, ЕАХ 
;вывод строки 
РОЗН 0 
РОЗН ОГЕЗЕТ ЪЕМЗ 
РОЗН 17 
РОЗН ОГЕЗЕТ ВИЕ 
РОЗН НАМОТ 
САЪЬ Мг1ЕеСопзо1еА@20 
ЕХ: 
РОЗН 0 
САБЬ Ех1Ргосе$5@4 
_ТЕХТ ЕМОЗ 
ЕМО ЗТАВТ 


Программа из листинга 2.1 проста и корректна. Представьте теперь, что при 
отладке вы случайно изменили одну команду: вместо оЕ поставили мЕ. 
В результате после трансляции программа перестала работать. Можно ис- 
править ее, не прибегая к ассемблерному тексту? Конечно. Для этого внача- 
ле ее следует дизассемблировать, найти ошибку, а потом воспользоваться 
программой ше\м.ехе. Вообще говоря, можно ограничиться только програм- 
мой Ше\’.ехе, т. к. она вполне прилично дизассемблирует небольшие про- 
граммы. Однако мы нарочно проведем исправление в два этапа. 


Дизассемблируем модуль при помощи программы аитрЫт.ехе. В листин- 
ге 2.2 дизассемблированный текст программы. 





Ритр оЕЁ Е11е соп${1.ехе 
Е11е Туре: ЕХЕСОТАВЬЕ ТМАСЕ 
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00401000: 6АЕ5 разв ОЕ5В 

00401002: ЕЗ2В000000 са11 00401032 

00401007: ЗЗЕВЕЕ стр еах, ОГЕВ 

0040100А: 751Е пе 0040102А 

0040100С: АЗ16304000 ох [00403016], еах 

00401011: 6А00 разв 0 

00401013: 6812304000 разв 4030128 

00401018: 6А11 разв 118 

0040101А: 6800304000 разв 4030008 

0040101Е: ЕЕЗ516304000 разв Чмога рег аз: [004030161] 
00401025: Е80Е000000 са11 00401038 

0040102А: 64.00 разв 0 

0040102С: Е802000000 са11 0040103Е 

00401031; СС 10 3 

00401032: ЕЕ2508204000 Эр ЧмогЯ рег а$; [004020081] 
00401038: ЕЕ2500204000 пр Чмога рег аз; [004020001] 
0040103Е: ЕЕ2504204000 пр ЧмогЯ рег @5: [004020041] 


По дизассемблированному коду легко обнаружить ошибку. Кстати, команду 
спр еах, ОРГЕЕЕЕЕЕВ 


надо, естественно, понимать как 
сир еах, -1 


Запомним нужный код ЗЗЕ8ЕЕН. Запускаем программу Ше\.ехе, нажимаем 
клавишу <Е7> и ищем нужное сочетание. Далее нажимаем клавишу <Е?З>, 
затем клавишу <Е2> и после заменяем команду ом на оЕ. Клавиша <Е9> 
фиксирует изменение. В результате мы исправили программу без ее повтор- 
ной трансляции. Конечно, нужную команду можно найти и по адресу 
60461007н, поскольку программа Ше\у.ехе корректно отображает виртуаль- 
ные адреса дизассемблируемых секций. 


Автором программы, которая, кстати, различает кроме формата РЕ еше и 
другие форматы исполняемых файлов (М7, МЕ, 1Х, ГЕ, ЕТЕ), является 
Евгений Сусликов. Сайт поддержки программы: В@р://ммм.5ее.пей/еп/. 


В!ем.ехе 


Эта программа по своему внешнему виду и системе команд очень близка к 
программе ше\.ехе. Программа также поддерживает большое число форма- 
тов исполняемых файлов. Сайт поддержки Ир: //Мем.боигсеГог?е.пеё. По- 
следняя распространяемая версия — 5.62. 
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2.1.4. Другие утилиты 


Существует огромное количество всевозможных программ, помогающих по- 
нять структуру исполняемого модуля и исполняемый код, который в нем 
находится. Все они выполняют ту или иную функцию. Скажем, РЕ-браузе- 
ры разрешают получить наиболее полную информацию об исполняемом 
модуле. Примером такого простейшего браузера может служить программа 
из приложения. Другие более совершенные браузеры позволяют редактиро- 
вать РЕ-заголовок — исправлять содержимое полей, добавлять новые сек- 
ции и т. д. О двух других типах исследовательского инструментария будет 
сказано в следующих разделах. Мы не будем называть конкретные програм- 
мы, т. к. во-первых, их много, а во-вторых, большинство таких программ 
долго не поддерживаются авторами. 


Исследователи ресурсов 


Программ, которые могут просматривать ресурсы исполняемого модуля, 
имеется огромное количество. Программ, которые могут вытаскивать ресур- 
сы и сохранять в двоичном виде или формате текстового (ВС) файла, мень- 
ше. Более продвинутые программы позволяют редактировать ресурсы непо- 
средственно в самом исполняемом модуле. 


| Кеонгсе НасКе 


-& Оаюа 


ЗЕТОРЕХРЬОВЕВ ОТАТОС 21, 24, 310, 184 
|ЗТУЬЕ 08 МОРАЪЕКАМЕ | #5 РОРОР | №5 УТЗЭТВЬЕ | №3 
АРТТОМ "" 
ТАМСОАСЕ ЪАМС ЕМСЬТЬН, ЗОВЪАНС ЕМСИТЗН 95 
ЕОМТ 8, "М5 Запз Зес1Е" 
- - { 

53 ЗЕТОР_УМРЗЕАВСН СОМТВОЬ "Весопнеп4еЯя зефёапа Рог Рлеве-в1ме и 
3 МАР ЕХТВАСТ1 } СОМТВОЬ "", 123, ЗТАТТС, 58 ВЪАСКЕВАМЕ | №5 С 
: С СОМТВОГ "Ехр1огег СопЁфдагаелоп", 8701, 5ТАТТ 

-- СОМТВОЬ "", 998, ЗТАТТС, 55 ВГАСКЕВАМЕ | №5 С 
3/2 МЕТАН СОМТВОЬ "зАззослате Мир эм1ЪН агсп1уев", 300 
МЕ МЗТАН-2 | СОМТВОЬ "зЕхр1огег зве11 ехфепз1от”, 303, ВИТ 

| СОМТВОЬ "Моп-&сазсадея и1181р сопеехе тепа 166 
СОМТВОХ "р15р1ау &4сопз оп соптехе шепиз", 286 





Рис. 2.5. Окно одной из программ, 
позволяющей исследовать исполняемый модуль 
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На рис. 2.5 показана одна из программ исследования ресурсов исполняемых 
модулей. Обратите внимание на левую панель, где перечислены все ресурсы 
данной программы в виде иерархической структуры. Правая панель окна 
содержит текст ресурса в формате КС. Вы можете исправить текст прямо 
здесь, а далее с помощью кнопки Сотрйе Зее откомпилировать текст и 
поместить его в модуль. Но этим возможности программы не заканчивают- 
ся. Посредством кнопки ЭВом 0120? мы можем вызвать редактор диалого- 
вых окон и отредактировать окно с помощью визуальных средств, а затем 
поместить полученный ресурс опять в исполняемый модуль. 


Мониторы 


Мониторы — это особый вид программ для отслеживания определенных со- 
бытий в системе. По отношению к нашим с вами задачам монитор отслежи- 
вает определенные действия программ. Существуют два вида мониторов, 
которые нам наиболее интересны. Первые отслеживают обращение про- 
грамм к системному реестру, вторые — к файловой системе вообще. 


На рис. 2.6 представлено окно монитора, отслеживающего обращение при- 
кладных программ к системному реестру. Имея такой протокол, мы легко 
можем определить, что делала та или иная программа с содержимым реест- 
ра. Узнав это, мы получаем важный ключ поиска нужного места в испол- 
няемом коде. Аналогично работают файловые мониторы. 


Ва 

125951 38 39137500 тире! ехе` 3560 ОиенУзие — НКСИ\бойлае\ Мстозо\МефаР!аре“Рееететсез“\ ТеБайеауеТ те МОТЕВИУНО 
125952 39 00941026 #>$ иипрауег ее 3550 Диевуаме — НКС“ бойне“ Мстозой\МефаР!ауе“Реенненсе$\“СОВесочЕеВыей  МОТЕОЦМС 
25983 33 01944958 икир!аует ехе 3580 Пиевузие  НКЕМ\ЗОЕТАААРЕ\МеюзойМефаРвуе“Ртевгепсе“СОВесоа Еее . МОТЕОУ 
25954 33.00948857 %3 Е итрауег ехе 3560 Оиев\аме — НКС \бониаге\Мстозой\МефаРнуе“Ревенсез\СОНесоЧЕ йе ерага . МОТЕОЦ 
25955 3900951887 >} илпрауег ахе 3560 Пиеу\ае — НКОМАЗОРТУАРЕ\Мстозой\МефаРвуе“\Риебтепсез“СОВесо Ребе  МОТЕОЧНС 
25956 29 00955597 изтирарег езе 3560 Оиепуаме — НКСУ\боНлае\Мстозой\ М ефаРауеРгеагепсез“ СОН есо Рай МОТЕОЧНО: 


25957 33 00958235 икорауег ехе 3550 Оиенуаме  НКМЗОЕТАМААЕ\Мстозо\МефаРвуе“Ртенепсе“СОВесоРай МОТЕВЫМЕ 
125958 39 00966380 иитр|ауег ее 3560 ОреиКеу НАЕМАСОРТАААЕ М ююзо ид \СинегМенног\АбВеСотраньну  ЧОТЕВЫМС 
25958 33 009394858 ^# илирауег ехе 3560 ОреКеу НКСО\бобиае\ Роса \ Мозоли МефаР(ауе‘опллеР ое МПТЕОЦ 
25960 39 01000290 № слирауег ехе 3560 ОиевМаме НКС \боймане\Мстозой\Алидоми\Сипе У езю щение Зецио\\Е на  ЧОТЕОЧ 
25961 3301007888 $2 стиыарегехе 3560 Оиец\аме — НКСО\бойлаге\Мстозой\МефаР!зуе “Ре гепсез“Аиомеадаа раме МОТЕОУ 
25962 3901011829 (®® илирауег ехе 3560 Оиевмаме — НКСИ\бойиае\Мктозой\МефаРарег\Руенепсез“АцоМеадааРиг»  МОТЕОУ 
25363 3301015448 унорауег ехе 3560 Очеууаме | НКС“ бойлые\Мсозо \МефаРзуе\Рузегсе“АлоОтдатее МОТЕСУНО 
125964 33 010189588 унтрауеи ехе 3560 Оиевуаме — НКСИ\бойлае“Мстозо\МефаРвуе “Ре тепсе\МезЧааВенеуа! 5Ы00Е$5 * 
25968 3901022203 инирарег ехе 3560 ОрейКеу НКСИ\З ойиане\Роче\Мстозо лида МефаРвуей, МОТЕОЦ 
25965 39 01025640 СЕХ ииорвуег еле 3960 ПреКау НКС \ бойне“ Ронцез\Мстозо ила донМедаР\вуег, МОТЕОЧ 

















Рис. 2.6. Окно программы-монитора, 
отслеживающей все обращение прикладных программ 
к системному реестру 


Существуют и другие программы, работающие с системным реестром. Такие 
программы следовало бы назвать сканерами. Они могут определять, к каким 
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данным реестра был доступ в течение конкретного промежутка времени. 
Довольно часто такие программы более удобны, нежели мониторы. 


2.2. Дизассемблер и отладчик \!32)азт 


Программа \/32Пазт (\У/тао\м$ РузаззетЫег) представляет собой симбиоз 
довольно мощного дизассемблера и отладчика. Версии программы 8.93 и 
10 — наиболее распространены в настоящее время и могут работать не толь- 
ко с РЕ-модулями, но и с ОО5-, МЕ-, ЕЕ-модулями. Я намерен довольно 
полно описать работу с этой программой. 


2.2.1. Начало работы 


Интерфейс и настройки программы 


Внешний вид программы показан на рис. 2.7. Меню дополняется панелью 
инструментов, элементы которой активизируются в зависимости от ситуации. 





Рис. 2.7. Интерфейс программы \/32Базт 
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Как уже было сказано, программа является дизассемблером и отладчиком в 
одном лице. Это отражено также в двух пунктах меню: О\5а$$ет ег и Оерир. 
Соответственно, имеются отдельные настройки для дизассемблера и отлад- 
чика. Для дизассемблера существуют всёго три опции, касающиеся анализа 
перекрестных ссылок в условных переходах, безусловных переходах и вызо- 
вах процедур. По умолчанию все три опции установлены. Отмена этих оп- 
ций нежелательна, т. к. снижает информативность дизассемблированного 
текста. В принципе, отмена указанных опций может понадобиться при ди- 
зассемблировании очень большой программы, чтобы несколько ускорить 
процесс анализа кода программы. 


Опций отладчика несколько больше, но они все очевидны. Окно установки 
опций отладчика изображено на рис. 2.8, все они касаются особенностей 
загрузки процессов, потоков и динамических библиотек. 





Рис. 2.8. Опции отладчика 


Для начала работы с исполняемым модулем достаточно выбрать нужный 
файл в меню Оббазет Мег | Ореп ЕЙе. После этого программа производит 
анализ модуля и выдает дизассемблированный текст, а также весьма полную 
информацию о секциях модуля“. \/32Разит весьма корректно распознает 
АР!-функции и комментирует их (рис. 2.9). 


После работы с модулем можно создать проект работы при помощи пункта 
Оу5аззетЫег | Зауе П1баззетЫег. По умолчанию проект сохраняется в подка- 
талог рез, который расположен в рабочем каталоге \/32Разт, и состоит 
из двух файлов: с расширением а! — дизассемблированный текст, с расши- 


4 Хотя \!32Оазт работает с разного типа модулями, я буду рассматривать только 
модули формата РЕ. 
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рением \р} — собственно сам проект. При повторном запуске можно от- 
крывать уже не модуль, а проект с помощью пункта Ргодесе | Ореп. 





Рис. 2.9. Фрагмент дизассемблированного текста 


2.2.2. Работа с дизассемблируемым кодом 
Перемещение по дизассемблированному тексту 


При перемещении по тексту текущая строка подсвечивается другим цветом, 
при этом особо выделяются переходы и вызовы процедур. Передвижение 
облегчается также с помощью пунктов меню Со®: 


СО Соб Соде Заг — переход на начало листинга; 


О Сою Ргоргат Епгу Рошё — переход на точку входа программы, наиболее 
важная команда меню; 


О Сою Раре — переход на страницу с заданным номером, по умолчанию 
число строк на странице равно пятидесяти; 


С Соб Софе Тосайоп — переход по заданному адресу, в случае отсутствия 
адреса учитываются диапазон и близость к другим адресам. 


Другой способ передвижения по дизассемблированному тексту предоставля- 
ет меню Зеагсй — поиск. Здесь нет никаких отличий от подобных команд 
других программ. 


В случае, если текущая строка находится в команде перехода или вызова 
процедуры, с помощью кнопок, расположенных на панели инструментов, 
можно перейти по соответствующему адресу. Такое передвижение можно 
продолжать, пока вы не обнаружите нужный фрагмент программы. Но са- 
мое приятное здесь то, что можно передвигаться и в обратном направлении. 
При этом нужные кнопки на панели инструментов автоматически подсве- 
чиваются. 


Кроме того, адреса, куда производится переход, содержат список адресов, 
откуда производятся переходы. Подсветив строку, где расположен адрес, и 
дважды щелкнув правой кнопкой мыши по этому адресу, мы перейдем к 
соответствующей строке. 
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Отображение данных 
Есть несколько вариантов работы с данными. 


Во-первых, имеется пункт меню НехОай | Нех ОП5р!ау о! аа, где можно 
просмотреть содержимое сегментов данных в шестнадцатеричном и строко- 
вом варианте. Кроме того, сам код программы также можно просматривать 
в шестнадцатеричном виде. Для этого используется пункт НехБае | Нех 
П!5р!ау ог Софе. 


Во-вторых, существует пункт меню Ве | Зите Бава ВеГегепсез. Это весь- 
ма мощное и полезное средство. При выборе этого пункта появляется 
список строк, на которые имеются ссылки в тексте программы. Во всяком 
случае это то, что сумел определить дизассемблер при анализе программы. 
Выбрав нужную строку, можно двойным щелчком перенестись в соответ- 
ствующее место программы. Если ссылок на данную строку несколько, то, 
продолжая делать двойные щелчки, мы будем переходить во все нужные 
места программы. На рис. 2.10 изображено окно ссылок на строковые ти- 
пы данных. 


планы» риодоу®зНадиизК.гажани" 

тпазк & ТМ 15 РТА“ 

глетТ уре" 

‘реги ире-> Са; 1реРадз & СЕ НАЗ_ОТОН" 
'МЕНИЦР" 

'Усгозой Мецнык/" 

‘стозоН Уи асныз МЧевуок" 

М5 005" 


: 


Но зрасе Ку сопулайд пе эгдцтей" 

Мо зрасе Кг соттаид Пе адитейе" 
"Мо зрасе ог сори оЁ соттайд пе" 
"Мо бае "" 

ор + 





Рис. 2.10. Окно ссылок на строки 


Как видно из рисунка, можно скопировать в буфер выбранную строку или 
все строки. 
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Вывод импортированных 
и экспортированных функций 


Список импортированных функций и модулей находится в начале дизас- 
семблированного текста (рис. 2.11). Кроме того, список импортированных 
функций можно получить из меню Еипсвоп$ | Пирог. Выбрав нужную 
функцию в списке, двойным щелчком можно получить все места програм- 
мы, где вызывается эта функция. 





Рис. 2.11. Фрагмент списка 
импортированных модулей и функций 


Экспортированные функции также можно получить в соответствующем ок- 
не, выбрав пункт ЕиисНоп$ | Ехрогб. 


Отображение ресурсов 


В начале дизассемблированного текста описаны и ресурсы, точнее два ос- 
новных ресурса — меню и диалоговое окно. Со списком этих ресурсов мож- 
но работать и в специальных окнах, получаемых с помощью пунктов меню 
программы Ве | Мепи ВеГегепсе$ и Ве | О1мог ВеГегепсез. Строковые ре- 
сурсы можно увидеть в уже упомянутом окне просмотра перечня строковых 
ссылок (см. рис. 2.10). Остальные ресурсы данной версии программы, к со- 
жалению, не выделяются. 
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Операции с текстом 


Строки дизассемблированного текста могут быть выделены и скопированы в 
буфер либо напечатаны. Выделение строки осуществляется щелчком левой 
кнопки мыши, когда курсор мыши расположен в крайнем левом положе- 
нии. Для выделения группы строк дополнительно следует нажать клавишу 
<5НШ>. Выделенный фрагмент копируется специальной кнопкой, которая 
“загорается”, когда фрагмент существует, либо отправляется на печатающее 
устройство. 


2.2.3. Отладка программ 


Кратко рассмотрим возможности отладки программы \!32)азт. 


Загрузка программ для отладки 


Загрузить модуль для отладки можно двумя способами. С помощью пункта 
Ревир | Тюа4 Ргосез$ загружается для отладки уже дизассемблированный 
модуль. 
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Рис. 2.12. Первое окно отладчика — информационное 
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Пункт Оерирф | АНасй © ап Асбуе Ргосез$ позволяет "подсоединяться" и от- 
лаживать процесс, находящийся в памяти. После загрузки отладчика на эк- 
ране появляются два окна. Первое окно — информационное (рис. 2.12), в 
документации оно называется "нижним левым окном отладчика". Второе 
окно — управляющее (рис. 2.13), называемое в документации "нижним пра- 
вым окном отладчика". 


:ООЗОСЕЕРЕ а899 Бубе рег [вах], 

1 О0400ЕЕР8 а94а Бубе рог [еах], 
‚О04О00РЕРА ааа Бубе рег [еах], 
‚:ООЗООРЕС ааа Бубе рег [еах], 
:ООЗООРЕЕ вая Бубе рог {[еах]. 
00401000 разв 000000008 

00401002 са11 МЕМЧ. 00401146 
00401007 шоу амокЯ рок [00403010], еах 
:0040108С рази 00403026 

:00401011 разВ ЧоотЯ реЕ [003403010] 
003401017 св11 МЕНТ. 00401170 





Рис. 2.13. Второе окно отладчика — управляющее 


Информационное окно содержит несколько окон-списков: содержимое ре- 
гистров микропроцессора, значения флагов микропроцессора, точки оста- 
нова, содержимое сегментных регистров, историю трассировок, историю 
событий, базовые адреса, два дисплея данных. Далее я объясню также зна- 
чения кнопок этого окна. 


Обратимся теперь к управляющему окну. Кнопка Кип Е9 запускает загру- 
женную в отладчик программу, кнопка Рацзе приостанавливает работу про- 
граммы, кнопка Тегттае останавливает выполнение программы и выгру- 
жает ее из отладчика. Кнопки Зер Оуег Е8 и \ер шю Е7 используются для 
пошагового исполнения программы. Первая кнопка, выполняя инструкции, 
“перескакивает" код процедур и цепочечные команды с повторением, вторая 
кнопка выполняет все инструкции последовательно. Кроме того, имеются 
кнопки АшоЗер Оуег Еб и Ашо$ер ш® Е5 для автоматического пошаго- 
вого выполнения программы. В случае АР1-функций даже нажатие кнопки 


168 Глава 2 


бер шо Е7 не приведет к пошаговому выполнению кода функции в силу 
того, что код функции не доступен для пользовательских программ. Очень 
удобно, что при пошаговом выполнении происходит передвижение не толь- 
ко в окне отладчика, но и в окне дизассемблера. 


Отмечу. что если вы подсоединяетесь к процессу, расположенному в памя- 
ти, то при выходе из отладчика процесс также будет выгружен из памяти, 
что может привести к неправильной работе операционной системы. 


Работа с динамическими библиотеками 


Для отладки динамической библиотеки можно поступить следующим обра- 
зом. Загрузить в отладчик программу, которая обращается к динамической 
библиотеке. Затем обратиться к списку используемых динамических биб- 
лиотек. Возможно, для работы с данной динамической библиотекой вам по- 
надобится запустить программу и выполнить какую-либо ее функцию. Два- 
жды щелкнув по нужной библиотеке, вы получите дизассемблированный 
код данной библиотеки в окне дизассемблера и возможность работать с ко- 
дом библиотеки. 


Точки останова 


В дизассемблированном тексте можно установить точки останова. Для этого 
следует перейти к нужной строке и воспользоваться клавишей <Е2> или 
левой кнопкой мыши при нажатой клавише <Си]>. Установка точки оста- 
нова в окне дизассемблера тут же отражается в информационном и управ- 
ляющем окнах — у отмеченной команды появляется префикс вР. Удалить 
точку останова можно тем же способом, что и при установке. Точку остано- 
ва можно сделать также неактивной. Для этого нужно обратиться к инфор- 
мационному окну и списку точек останова. Выбрав нужный адрес, щелкни- 
те по нему правой кнопкой мыши. При этом "звездочка" у данной точки 
останова исчезнет, а строка в окне дизассемблера из желтой станет зеленой. 


Быстрый переход к точке останова можно произвести, выбрав ее из списка 
(информационное окно) и сделав двойной щелчок мышью. Наконец, можно 
установить точки останова на определенные события, такие как загрузка и 
выгрузка динамической библиотеки, создание и удаление потока и т. д. Все 
это делается при помощи установки соответствующих флажков в информа- 
ЦиоНномМ ОКНЕ. 


Модификация кода, данных и регистров 


Отладчик позволяет модифицировать загруженный в него код (рис. 2.14). 
Сделать это можно, обратившись к кнопке Рай Софе в управляющем окне 
(см. рис. 2.13). Важно отметить, что модификации подвергается только код, 
загруженный в отладчик, а не дизассемблированный текст. Найдя нужное 
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место в отлаживаемом коде и модифицировав его, вы можете тут же прове- 
рить результат модификации, запустив программу. Если модификация ока- 
залась правильной, можно приступать уже к модификации самого модуля. 


№32 азт Соде Расе 


003401002 са11 00401146 





Рис. 2.14. Окно модификации отлаживаемого кода 


Для модификации регистров и ячеек памяти исполняемого процесса су- 
ществует специальная кнопка МодНу Оаа в информационном окне (см. 
рис. 2.12). Окно модификации изображено на рис. 2.15. Окно несколько 
загромождено элементами, но, присмотревшись, вы поймете, что все эле- 
менты на своем месте. В верхней части окна расположены текущие значе- 
ния основных флагов микропроцессора, которые вы можете изменить. Для 
того чтобы модифицировать содержимое регистра или ячейку памяти, сле- 
дует вначале установить модифицирующую величину — Ещег Уаше. Далее 
следует выбрать нужный регистр (в списке регистров, см. рис. 2.15) и на- 
жать кнопку слева от имени этого регистра в списке. Чтобы установить 
старое значение, следует нажать кнопку В справа от регистра. Чтобы из- 
менить содержимое ячейки памяти, нужно вначале записать адрес ячейки 
в поле раскрывающегося списка Мет ГосК (рис. 2.15), а затем воспользо- 
ваться кнопкой Мет. Другие операции, предоставляемые данным окном, 
также достаточно очевидны. 
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Рис. 2.15. Окно модификации регистров и ячеек памяти 


Дополнительные возможности для работы с АР! 


Отладчик позволяет выдавать дополнительную информацию о выполняемых 
АР1!-функциях. Чтобы воспользоваться этим, необходимо сделать следую- 
щее. В управляющем окне установите флажки: Епае Ооситеще4 АРТ Эе- 
{215$, юр Ашо Оп АРГ (см. рис. 2.13). Далее запустите программу на выпол- 
нение нажатием клавиши <Е5>. При прохождении АР|!-функции будет 
производиться остановка, а на экране — появляться окно с информацией о 
данной функции. 


Поиск нужного места в программе 


Часто требуется найти в дизассемблированном коде место, соответствующее 
месту исполняемой программы. Наиболее эффективно это можно сделать 
слелдующим образом. Загружаем в отладчик данный модуль. Запускаем его, 
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доходим до нужного места и нажимаем кнопку Тегиитае. В результате под- 
свеченная строка в дизассемблированном коде окажется как раз в нужном 
месте. Нужно только иметь в виду, что некоторые программы делают изме- 
нения, которые потом продолжают действовать и после прерывания ее ра- 
боты. К таковым относятся, в частности, горячие клавиши. 


К использованию программы \32Разт мы еще вернемся в последующих 
главах. 


2.3. Отладчик ОПуОБад 


Это удивительный отладчик. Например, он умеет определять параметры 
процедуры, циклы, выделять константы, массивы и строки, что никогда не 
было отличительным признаком такого рода инструментов. Отладчик под- 
держивает все процессоры 80х86 и знает множество числовых форматов. 
Можно загружать в отладчик исполняемый модуль или подключаться к уже 
работающему процессу. В общем, возможностей — море, и мы будем о не- 
которых из них говорить. 


2.3.1. Начало работы с отладчиком 


Окна отладчика 


Начнем рассмотрение отладчика ОПу)б& с изучения главного окна этой 
программы (рис. 2.16). Кроме естественного горизонтального меню и пане- 
ли кнопок, в главном окне расположены по умолчанию четыре информаци- 
онных окна: окно дизассемблера (левое верхнее), окно данных (левое ниж- 
нее), окно регистров (правое верхнее), окно стека (правое нижнее). Кроме 
указанных окон в процессе работы можно использовать и другие окна. Пе- 
речень всех информационных окон представлен в пункте меню \Уеч. С ча- 
стью окон вы познакомитесь в процессе изучения данного раздела, о других 
вы можете узнать самостоятельно, если конечно будете использовать дан- 
ный инструмент, что я вам настоятельно рекомендую. 


Обратимся теперь к окнам, которые мы видим на рис. 2.16. Это наиболее 
важные окна, без которых никак не обойтись в процессе отладки. 


Окно дизассемблера 
Окно состоит из четырех колонок. 


О Колонка адреса команды (А@@ге$$). В данной колонке показан виртуаль- 
ный адрес команды, который она получает при загрузке модуля в память. 
Двойной шелчок мышью в данной колонке переводит все адреса в сме- 
щения относительно текущего адреса ($, $-2, $+4 ит. П.). 
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Рис. 2.16. Отладчик ОЛУОБа 
с загруженной в него программой 


С Колонка кода команды (Нех Фитр). При этом выделяются собственно 
код и значение операнда. Кроме этого, в колонке имеются различные 
значки, которые помогают разобраться в логике программы: указывают 
на команду, на которую есть переходы (>), команду, осуществляющую 
переход (^ — вверх, “— вниз), и т. п. В этой же колонке отмечаются 
циклы, которые удалось распознать программе. Двойной щелчок по этой 
колонке приводит к тому, что в первой колонке адрес будет подсвечен 
красным. Это означает, что мы установили точку останова на данную 
команду (адрес). 


С Колонка команды (О/5а$$ет Му). В этой колонке представлено ассемб- 
лерное обозначение команды. Двойной щелчок по колонке приводит к 
тому, что появляется окно редактирования ассемблерной команды. Вы 
можете исправить команду, и далее в отладке будет участвовать исправ- 
ленная вами команда. Более того, вы можете записать исправленный 
текст программы в исполняемый модуль. Здорово, не правда ли? 


С Колонка комментария (Соттеп@. Здесь программа помещает дополни- 
тельную информацию о команде. В частности, указываются имена АР]- 
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функций, библиотечных функций и т. д. Сделав двойной щелчок по этой 
колонке, мы получим возможность добавлять свой комментарий к каж- 
дой строке ассемблерного кода. 


Окно данных 


Окно имеет по умолчанию три колонки: колонка адреса (А@@ге$$), колонка, 
содержащая шестнадцатеричное значение ячейки (Нех 4дитр), колонка тек- 
стовой интерпретации содержимого ячеек (АЗСИ, Ошсове и т. п.). Можно 
менять смысл второй и третьей колонок. Например, можно интерпретиро- 
вать содержимое ячеек в кодировке ЧУтсоде. 


Окно регистров 


Окно регистров может содержать три возможных набора: стандартные реги- 
стры и регистры сопроцессора, стандартные регистры и регистры ММХ, 
стандартные регистры и регистры в технологии ЗОМо\х. Двойной щелчок в 
этом окне позволяет редактировать содержимое соответствующего регистра. 


Окно стека 


Окно стека представляет содержимое стека. Первая колонка (А@9ге$$) 
содержит адрес ячейки в стеке, вторая колонка (Уаше) — содержимое ячей- 
ки, третья колонка (Соттеп() — возможный комментарий к содержимому 
(см. рис. 2.16). 


Еще об окнах 
Приступая к работе с отладчиком, имейте в виду следующее. 


С Щелкнув правой кнопкой мыши по любому из окон, вы получите кон- 
текстное меню. Оно индивидуально для каждого из четырех окон. Сове- 
тую подробно изучить эти меню. Часть информации вы можете получить 
в процессе нашего изложения. 


СО Окна (их содержимое) не являются независимыми. Посмотрите на реги- 
стры. Щелкнув правой кнопкой мыши по одному из рабочих регистров, 
можно всегда перевести его содержимое, как адрес в области данных 
(ЮПом ш 4итр) или в области стека (юПо\м т “аскК). 


Отладочное выполнение 


Отладка — это анализ поведения программы путем исполнения ее в раз- 
личных режимах. Вот о различных режимах выполнения программы в от- 
ладчике ОПу,Б> мы сейчас и поговорим. 


Итак, исполняемый код загружен в отладчик. В окне дизассемблера мы ви- 
дим ассемблерный код. 


174 Глава 2 





Какие же основные способы выполнения программы можно использовать? 


О Пошаговое выполнение с обходом процедур (5ер оуег). При нажатии 
клавиши <Е8> выполняется текущая ассемблерная команда. Выполняя 
одну команду за другой, мы можем в трех остальных окнах следить за 
тем, как меняется содержимое регистров, секции данных и секции стека. 
Особенностью данной команды является то, что если очередной коман- 
дой будет команда вызова процедуры (сАьт,), то автоматически будут вы- 
полняться все команды процедуры (все команды процедуры выполнятся 
как одна инструкция). 


О Пошаговое выполнение с заходом в процедуру (Яер шо). Выполнение 
осуществляется по нажатию клавиши <Е7>. Основным отличием от пре- 
дыдущего способа является то, что при встрече с командой саБь далее 
пошагово будут выполняться инструкции процедуры. 


ОС Оба способа пошагового выполнения (%ер оуег и “ер шо) можно авто- 
матизировать, если использовать так называемую анимацию (апитацоп), 
соответственно, нажимая комбинации клавиш <Си1>+<Е8> или <СШ>+ 
+<Е7>. При нажатии этих комбинаций клавиш команды "%ер оуег" и 
"Мер имо" будут выполняться в автоматическом режиме одна за другой с 
небольшой задержкой. После каждой инструкции окна отладчика будут 
обновляться, так что можно отслеживать динамику изменений. В любой 
момент можно приостановить выполнение, нажав клавишу <Е5$с>. Вы- 
полнение приостанавливается также на точках останова (сл. разд. 2.3.2) и 
в случае, если исполняемая программа генерирует исключение. 


О Еше один способ пошагового выполнения программы — это трассировка 
(пасе). Она напоминает анимацию, но при этом на каждом шаге не об- 
новляются окна отладчика. Два способа трассировки, соответствующие 
"5ер оуег” и "\ер иио", выполняются с помощью комбинаций клавиш 
<СШ>+<Е12> и <СШ>+<ЕИ>. Остановить трассировку можно теми же 
способами, что и анимацию. После каждой команды информация о ее 
выполнении заносится в специальный трассировочный буфер, который 
можно просмотреть с помощью пункта меню Мем | Вип ‘гасе. При жела- 
нии содержимое буфера можно сбросить в текстовый файл. Можно опре- 
делить условия, по которым будет происходить остановка трассировки 
(Зег пасе сопащюп) — через комбинацию клавиш <СШ>+<Т> (точка ос- 
танова). При этом можно задать: 


» диапазон адресов, в котором будет произведен останов; 


» условные выражения, например, ЕАх>100000, при выполнении кото- 
рых трассировка будет остановлена; 


» номер команды или набор команд, по которым будет произведен ос- 
танов. 
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Можно заставить отладчик выполнить код, пока не встретится возврат из 
процедуры (ехесще И] гешгл). Другими словами, будет выполнен весь код 
текушей процедуры и осуществлен возврат из нее. Для этого предназна- 
чена комбинация клавиш <Си]>+<Е9>. 


Наконец, если в процессе трассировки вы оказались глубоко в системном 
коде, можно дать команду выхода из него (ехесще И] изег сое) — нажать 
комбинацию клавиш <АК>+<РЕ9>. 


2.3.2. Точки останова 


Точки останова (точки прерывания, контрольные точки) — это очень мощ- 
ное средство отладки приложения. Они позволяют разобраться в логике вы- 
полнения программы, давая мгновенные снимки регистров, стека и данных 
в определенные моменты выполнения. 


Обычные точки останова 


Обычные точки останова (от@тагу БгеаКро!1{5) ставятся на конкретную 
команду. Для этого в окне дизассемблера используется клавиша <Е2> или 
двойной щелчок мыши во второй колонке окна кода (Нех дитр). В резуль- 
тате адрес команды в первой колонке (А@9ге$$) окрашивается по умолчанию 
в красный цвет. Этот вид точек останова, в первую очередь, помогает найти 
корреляцию между наблюдаемым нами ходом выполнения программы 
(появление окон, сообщений и т. п.) и конкретными участками программ- 
ного кода. Кроме этого, в точке останова можно проверить состояние реги- 
стров, переменных, состояние стека. Вторичное нажатие клавиши <Е?2> в 
точке останова или двойной щелчок мыши удаляют точку останова. Имей- 
те в виду, что остановка осуществляется перед выполнением "помеченной" 
команды. 


Условные точки останова 


Условные точки останова (сопашопа!| ФгеаКро!п!{$) устанавливаются по нажа- 
тию комбинации клавиш <5ШИ>+<Е?2>. При этом появляется окно с ком- 
бинированным списком, куда можно занести точку останова. В поле комби- 
нированного списка задается условие, при выполнении которого должна 
быть произведена остановка на данной команде. Отладчик поддерживает 
достаточно сложные выражения, содержащие условия. Приведу несколько 
примеров: 

С ЕАх==1 — остановка на отмеченной команде (перед ее выполнением) бу- 

дет осуществлена, если содержимое регистра вАх будет равно 1; 
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О ЕАхХ=0 АМО ЕСХ>10 — остановка на отмеченной команде будет осуществле- 
на, если содержимое регистра кАХ будет равно о, а содержимое регистра 
ЕСХ будет больше 10; 


С [5$Твтмб 427010]=="Еггог" — в данном случае выполнение программы 
приостановится, если по адресу 427010н будет располагаться строка 
"Ехгох". Можно написать и Так: ЕАХ=="Егког", И ТОГДа содержимое вАХ 
будет трактоваться как указатель на строку; 


С [427070]=1231 — данное условие определяет остановку, если содержимое 
ячейки памяти 427070н равно 1231н; 


С [1427070] }=1231 — здесь используется косвенная адресация. Предпола- 
гается, что ячейка с адресом 427070н содержит адрес другой ячейки, со- 
держимое которой и будет сравниваться с числом 1231н. 


Условные точки останова с записью в журнал 


Данный вид точек останова (соп4юпа! 1ю22112 ФгеаКро!п?) является расши- 
рением условных точек останова. Устанавливается по нажатию комбинации 
клавиш <ЗША>+<Е4>. Каждый раз, когда данная точка останова срабатыва- 
ет, делается запись в журнале. Посмотреть содержимое журнала можно, на- 
жав комбинацию клавиш <АН>+<[> или выбрав из меню М ем | 102. Мож- 
но установить запись, которая станет появляться в журнале, а также указать 
выражение, значение которого будет записываться в журнал. Наконец, мож- 
но установить счетчик, который будет показывать, сколько раз должна быть 
произведена запись в журнал и нужно ли прерывать работу программы каж- 
дый раз, когда выполняются условия останова. 


Точка останова на сообщения \М/т4дом$ 


Поскольку сообщения приходят на функцию окна (точнее класса окна), то 
для установки точки останова на сообщение необходимо наличие окон; 
другими словами, оконное приложение должно быть запущено. Итак, для 
простоты я загрузил в отладчик простое приложение всего с одним окном и 
запустил его при помощи комбинации клавиш <Си1>+<[Е8>. Через секунду 
окно приложения активизировалось. Кстати, обратили внимание, какая 
часть программы непрерывно выполняется? Правильно, цикл обработки со- 
общений. Чтобы выйти на функцию окна, нужно вызвать список созданных 
приложением окон. Это делается при помощи пункта меню \Уем | УИдо\5. 
Результат команды мы видим на рис. 2.17. 


Из рис. 2.17 можно узнать дескриптор окна, его название, идентификатор 
и, главное, адрес процедуры класса (столбец С15Ргос). Последняя инфор- 
мация дает нам возможность обратиться непосредственно к функции окна 
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и установить там обычную или условную точку останова. Однако при ра- 
боте с оконными функциями эффективнее использовать точку останова на 
сообщение. 





Рис. 2.17. Окно со списком окон, 
созданных приложением 


Итак, щелкнем по окну, изображенному на рис. 2.17, и выберем из контек- 
стного меню пункт Ме$баге геаКрошё оп С1а$$Ргос. В появившемся окне 
можно установить параметры точки останова, а именно: 


0 из выпадающего списка выбрать сообщение. Замечу при этом, что можно 
выбрать: 


е не само сообщение, а событие, которое может знаменоваться несколь- 
КИМИ сообщениями, например, создание и уничтожение окна, собы- 
тие от клавиатуры и т. п., 


» сообщения, определяемые пользователем, 


О определить перечень окон, которые будут отслеживаться, на предмет по- 
ступления данного сообщения: данное окно, все окна с данным заголов- 
ком, все окна; 


О определить счетчик — сколько раз будет срабатывать точка останова; 
О будет или нет останавливаться выполнение программы; 
О будет или нет производиться запись в журнал. 


Потренируйтесь теперь сами с установкой описанных выше точек останова 
и проследите также за содержимым окна стека — это весьма поучительное 
занятие. 
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Точка останова на функции импорта 


Список всех импортируемых с отлаживаемым модулем имен можно полу- 
чить с помощью нажатия комбинации клавиш <СН]>+<М>. Далее, щелкнув 
правой кнопкой мыши по окну, можно установить: 


О точку останова на вызов импортируемой функции (команда Тогёе геаК- 
роштЕ оп 1трогб); 


С условную точку останова на вызов импортируемой функции (команда 
Сопд опа! БгеаКрошЕ оп ипрог@; 


О условную точку останова на импорт с записью в журнал (команда Соп@- 
опа] 102 БгеаКрошЕ оп Нирог@); 


О точки останова на все ссылки на данное имя (команда 3её БгеаКрошЕ оп 
еуегу геГегепсе); г 


С точки останова с записью в журнал на все ссылки на данное имя 
(команда ей 102 БгеаКротЁ оп еуегу ге{егепсе) 


или удалить все точки останова (команда Ветоуе аЙ БгеаКрош(5). 


Точка останова на область памяти 


Отладчик ОПуО6$ позволяет установить одну точку останова на область па- 
мяти. Выбираем окно дизассемблера или окно данных (4итр). Далее ис- 
пользуем контекстное меню и выбираем пункт ВгеаКроше | Метогу оп ассез$ 
(на доступ к памяти) или ВгеаКроше | Метогу оп угйе (на запись в память). 
Носле этого точка останова готова к использованию. Как вы понимаете, 
первый тип точки останова возможен и для данных, и для кода, второй — 
только для кода. Удалить точку останова на область памяти можно опять же 
из контекстного меню: ВгеаКройи | Ветоуе шетогу БгеаКроше. 


Точка останова в окне Метогу 


Окно Метогу отображает блоки памяти, которые были зарезервированы для 
отлаживаемой программы или самой отлаживаемой программой. Вот в этом 
окне также можно установить одну точку останова. Для этого опять исполь- 
зуется контекстное меню, появляющееся посредством щелчка правой кноп- 
кой мыши и выбором пункта $её шетогу БгеаКротё оп ассез$ (Установить 
точку останова на доступ к памяти) или Зеё тетогу ЬгеаКрошё оп утгИе 
(Установить точку останова на запись в память). Удалить точку останова 
можно из того контекстного меню командой Кетоуе тетогу геаКроше. 


Аппаратные точки останова 


Обычные точки останова используют стандартный вектор прерывания 
тмт 3. Добавление таких точек останова может существенно замедлить вы- 
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полнение отлаживаемой программы. Но, как известно, у микропроцессора 
Пе! Репиит имеются четыре отладочных регистра рво—рвз (см. разд. 1.2). 
Эти регистры могут содержать четыре контрольные точки — виртуальные 
адреса текущей программы. Как только адрес, который использует команда, 
оказывается равным адресу в одном из указанных регистров, так генериру- 
ется исключение, перехватываемое отладчиком. Аппаратные точки останова 
не замелляют выполнение отлаживаемой программы, но, как видно из ска- 
занного выше, их может быть всего 4. Установить аппаратную точку остано- 
ва можно из окна дизассемблера с помощью пункта ВгеаКройи | Наг@\аге оп 
ехесийоп контекстного меню либо в окне данных с помощью пунктов 
ВгеаКрош! | Нагамаге оп ассез$ или ВгеаКройе | Наг@\аге оп ассез$. Удалить 
аппаратные точки останова можно с помощью того контекстного меню: 
ВгеаКроше | Ветоуе Вагамаге БгеаКрош(5. 


2.3.3. Другие возможности 


Окно наблюдения 


В отладчике ОПуОЬ? имеется окно для наблюдения за выражениями. С вы- 
ражениями мы уже сталкивались, когда рассматривали условные точки ос- 
танова. Вы можете использовать сколь угодно сложные выражения, в кото- 
рых участвуют ячейки памяти и регистры. Окно наблюдения вызывается 
командой меню У\Уем | У/акве$. Щелкнув в появившемся окне правой кноп- 
кой мыши и выбрав пункт Ада У’акйе$ (Добавить наблюдение), вы можете 
определить выражение, за которым отладчик будет наблюдать, т. е. выводить 
значение этого выражения. На рис. 2.18 представлено окно наблюдения, 
содержащее список из четырех выражений, значения которых отслеживают- 
ся при каждом выполнении команды процессора и отображаются в окне. 


ЕЯИ+ЕВХ 
1 О5080 ГЕВР+8] 
: ВУТЕ [493945] 


48304 





Рис. 2.18. Окно наблюдения за выражениями 


Поиск информации 


Отладчик ОПНУОб» позволяет эффективно искать различного рола информа- 
цию. Рассмотрим некоторые возможности. 
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По команде от нажатия комбинации клавиш <СИ]>+<В> появляется окно 
поиска, где вы можете определить строку, которая будет разыскиваться в 
загруженном в отладчик модуле. Строку для поиска можно вводить в виде 
последовательности символов, байтов, символов в кодировке Ушсоде. 


Для поиска команд используются комбинации клавиш <Си1>+<Е> для 
одиночной команды и <СИ>+<5$> для последовательности команд. 


Нажатие комбинации клавиш <СИ|1>+<Ё> повторяет последний сделанный 
поиск. 


Исправление исполняемого модуля 


Отладчик ОПуОбё обладает великолепной возможностью записи исправле- 
ния в исполняемый модуль. Вы можете не только переписать с исправле- 
ниями отлаживаемый модуль, но и создать новый исполняемый модуль. Де- 
лается это очень просто. Для этого щелкаем правой кнопкой мыши в окне 
дизассемблера и выбираем пункт Сору фо ехесийоп | З@есйоп. В результате 
весь дизассемблированный модуль вместе с исправленными командами бу- 
дет скопирован в новое окно. После этого опять щелкаем по этому окну 
правой кнопкой мыши и выбираем пункт Зауе Ше. Далее вы можете вы- 
брать, под каким именем будет сохранен (создан) исполняемый модуль. Это 
действительно очень удобно: во-первых, вы можете создавать произвольное 
количество версий исправленного кода, во-вторых, проверка правильности 
исправление осуществляется, не выходя из отладчика. 


На этом я закончу рассмотрение отладчика ОПуОБ?, хотя остается еще ог- 
ромное количество интересных вопросов, связанных с использованием этой 
замечательной программы. Увы, все в этом мире заканчивается, и объем 
книги требует переходу к следующим вопросам. 


2.4. Несколько примеров редактирования 
исполняемых модулей 


Примеры, которые будут здесь рассмотрены, не столь сложны. Я привожу 
их для того, чтобы: 


С во-первых, продемонстрировать возможности тех инструментов, о кото- 
рых я рассказал выше; 


О во-вторых, показать несколько стандартных приемов, которые использу- 
ются для исследования и исправления исполняемого кода, 


О в-третьих, доколе же можно испытывать терпение читателя и кормить его 
одними обещаниями. 
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Лишний раз подчеркну, что все примеры исправления исполняемого кода 
Приводятся в данной книге только в учебных целях. 


2.4.1. Пример 1. 
Удаление нежелательного сообщения 


История эта приключилась со мной недавно. Я приобрел компакт-диск с ис- 
торической энциклопедией. Установив ее на компьютер и проверив, что все 
работает, я на некоторое время забыл о программе. Спустя неделю я обнару- 
жил, что при запуске программы появляется следующее окно (рис. 2.19). 





Рис. 2.19. Сообщение, которое мешало мне работать 


Если нажать кнопку Да, то программа будет работать, причем совершенно 
нормально. Немного поразмыслив, я пришел к выводу, что причиной появ- 
ления такого сообщения являлся перенос файла виртуальной памяти в дру- 
гой раздел, что я сделал дня за два до этого. Поскольку возвращать все в 
исходное состояние я не собирался, а программа все равно работала нор- 
мально, я решил просто исправить исполняемый код и убрать раздражаю- 
щее меня сообщение. 


Итак, приступим. Судя по всему, перед нами простое окно МеззадевВох. 
Признаком такого окна является, во-первых, пиктограмма в левой части (в 
данном случае восклицательный знак), а во-вторых, две кнопки — Да и Нет. 
Возникает вопрос, как добраться до этого вызова? 


Поиск в ОПУОБа 


Выйти на сообщение МеззадеВох в отладчике можно разным способом. 
Проше всего установить точку останова на импортируемое имя МеззадеВох 
(см. разд. 2.3.2), а затем запустить программу (комбинация клавиш <Си1>+ 
+<Е8>) и ждать остановки. Но в данном случае все гораздо проще. Сооб- 
щение появляется в начале запуска программы, и выйти на это место в 
программе можно простым пошаговым выполнением кода (клавиша <Е8>). 


На рис. 2.20 представлено окно отладчика с разыскиваемым нами фрагмен- 
том. Обратим внимание, что чуть выше вызова функции МеззадевВох имеется 
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вызов АР|-функции с1оБа1Мемогу$ ак из. Очевидно, анализ результата вы- 
полнения именно этой функции и приводит к появлению сообщения об 
ошибке. В данном случае нет смысла пытаться понять, как работает данная 
функция. Важно, что после вызова этой функции идут следующие строки: 


00494039 8130 287А4900 СМР ПМОВО РТВ 0$: [497А28], 989680 
00494043 70 1Е ЭСЕ ЗНОВТ ВН1з$оку. 00494064 


Проще заменить СЕ ЗНОВТ 00494064 на МР $ЗОВТ 00494064. Тем самым мы 
обойдем вызов окна МеззадевВох. 


Мы с вами подробно рассматривали замечательную программу Ше\.ехе 
(см. разд. 2.1.3), с помошью которой можно редактировать исполняемые 
модули. Однако мы знаем, что отредактировать исполняемый модуль 
можно и с помощью отладчика ОПНуБЪ». Вообще, понимание, что у задачи 
может быть несколько решений, и вы знаете эти решения, придает уве- 
ренности. Желаю вам, дорогой читатель, как можно больше таких незабы- 
ваемых минут! 
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Рис. 2.20. Окно ОНУОБа 
с фрагментом вызова МеззадеВох 
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Поиск в \№!32Базт 


Попробуем теперь поискать нужное нам место в дизассемблере \/32Пазт. 
Здесь можно обратиться к списку импортируемых функций и, разыскав 
МеззадеВох с помощью двойных шелчков мыши по строке, где записана эта 
функция, найти все места в программе, где происходит вызов этой функции. 
Но можно использовать и отладчик, встроенный в \!32ОПаятл, что мы сейчас 
и сделаем. 


Используем пункт меню Оерир | Тоа4 Ргосез$. Появится окно для указания 
параметров загрузки программы. Нажимаем кнопку 10а4. Окно появивше- 
гося отладчика изображено на рис. 2.21. Нажимаем на кнопку Ашо$ер Оуег 
Е5 и ждем, когда отобразится так интересующее нас сообщение. Когда со- 
общение появится, нажимаем кнопку Тегпипае и оказываемся ровно в том 
месте программы (дизассемблированного текста), куда мы и стремились по- 
пасть. Дальнейшие действия нам уже знакомы — запускаем Ше\у’.ехе и дела- 
ем нужные исправления. 


: ООЗЭЗЕВА 

:00493Е5С 

:00993Е5Р 

:00493Р5Е 

ООЗЭЗЕ5Е 
49 


ачЯ Бубе 
оу вах, 
сир есх, 
Час есх 
аЯЯ вусе 


:00493Е61 


004932563 
:00493266 
: 0049368 


еах, 


ЗиоЕсЯ рек [ебр-10], 
ОО4ЭЗВЕО 


рсЕ [вах], а!1 
55004938 

нога рег [есх+00] 
рек [ебр-75], 91 
езр 

ЕРЕЕРЕЕО 

вах 

еах 





Рис. 2.21. Окно отладчика \М/3З2Вазт 
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Поиск в А Рго 


Поиск нужного фрагмента в ТЛРА Рго также вполне традиционен. В окне 
функций найдем меззадеВох и щелчком выйдем на фрагмент, представлен- 
ный на рис. 2.22. Это "переходник", который вызывается из других мест 
программы. Обратите внимание на многоточие. Если щелкнуть по этому 
месту правой кнопкой мыши и выбрать в контекстном меню пункт Липр © 
сго$$ геГегепсе, то появится окно со списком всех адресов программы, отку- 
да вызывается функция МеззадеВох. Теперь не составит труда перебрать все 
вызовы интересующей нас функции и найти нужное место программы. 


СООЕ: 90405ЕТС ; нс $ЗУБВОЧТЕМНЕ ео ее кк ен ния 
СООЕ :00465Е!ТС 

СООЕ: 90405ЕТС . НЕСЕТЬЗЕов: ЕРЫМК 

СОВЕ : 99495ЕТС 


СООЕ: 909495Е!ТС рув115 МеззадеВохй В . ызак 

СООЕ:00405ЕТС МеззадеВохя 8 — ргос меаг ; СООЕ ХАЕР; зы 488558936 
СООЕ :900405Е!ТС $ ЗЫВ НТЦ ... 
СООЕ:00405Е!ТС рир 45: фар МросвжюВоско В 





С00Е:00405Е!ТС МеззасеВохй В  еэпар 
СООЕ: 90465ЕТС 
ГОПЕ . ПАЦЯКЕТГ еее кения ини колики нокии чиченичн 


Рис. 2.22. Фрагмент дизассемблированного текста из 19А Рго 


Замечание 





При исправлении исполняемого кода, а, как правило, речь идет о снятии защи- 
ты, очень часто фигурирует команда условного перехода. Но поскольку коман- 
де условного перехода очень часто предшествует команда сравнения СМР, то 
часто слышишь утверждение, что для взлома программы надо знать только од- 
ну ассемблерную команду. Конечно, это совсем не так, и в сложных ситуациях 
приходится глубоко "вгрызаться" в ассемблерный код. 


2.4.2. Пример 2. Снятие ограничений 
на использование программы 


Задача, которую ставим перед собой, не так сложна, но достаточно рас- 
пространена. Решить ее можно, воспользовавшись только дизассемблером 
\!32Вазт. Для исправления, как обычно, мы используем программу 
Ше\’.ехе. 


Данная программа (АП Зсгееп 95 РКО — программа, с помощью которой 
можно "снимать" окна и отдельные части экрана) попала ко мне как 5паге- 
\’аге ге]еазе довольно давно. Программа написана на Оерш, но мы увидим, 
что решить поставленную задачу можно, и не зная, на чем написана про- 
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грамма. Впрочем, дизассемблер РеПе.ехе (см. разд. 2.1.1), который я ранее 
усиленно хвалил, не смог разобраться в данной программе, по-видимому, по 
причине использования для трансляции программы старого компилятора. 


Итак, при запуске программы А[зсгееп.ехе на экране появляется окно, изо- 
браженное на рис. 2.23. Ближе познакомившись с предметом, вы убедитесь, 
что чаще всего приходится искать место в программе, соответствующее ка- 
кому-либо визуальному эффекту: открытие окна, закрытие окна, вывод тек- 
ста ит. п. 


При нажатии кнопки Ассерё возникает задержка секунд в шесть (рис. 2.24). 
Далее программа работает нормально. 


стееп 95 РВ ЗВагежаге Ваеазе 





Рис. 2.23. Окно, появляющееся при запуске 
программы Ай5сгееп 


АП Осгееп 95 РВО бКагемаге Вевазе 





Рис. 2.24. Окно задержки 


После пятнадцати запусков появляется окно, представленное на рис. 2.25, и 
происходит выход из программы. 


=... 110 
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Рис. 2.25. Сообщение об истечении 
времени работы программы 


Таким образом, передо мной стояло две задачи: 
С) устранить весьма раздражающую меня задержку; 
С) сделать так, чтобы программа работала при любом количестве запусков. 


Процедура задержки 


Окно, представленное на рис. 2.25, — это явный "прокол" авторов програм- 
мы?. Дело в том, что окно и все его содержимое можно спрятать в ресурсы. 
Но когда на том же окне появляется новая запись — это уже программный 
код. Итак, запускаем дизассемблер \/32Оазт и загружаем туда программу 
А|зсгееп.ехе. Вызываем окно ЗОВ (Зитвё Оаа Кеегепсе — ссылки на стро- 
ки данных), ищем строку ЭПагемаге Ое]ау, дважды щелкаем по ней и, за- 
крыв его, оказываемся в нужном месте программы. Вот этот фрагмент 
(листинг 2.3). 





* ВеЁегепсеа Бу а (Ч) псопа1Е1опа1 ог (С)опа1Е1опа1 Фар аЕ Ааагезз: 
|:004420ВС (С) 
| 


:00442123 3302 хог еах, еах 
:00442125 8888380010000 поУу еах, ЧАмога рег [ебх+000001в0] 
:0044212В ЕЗ5410ЕРЕР са11 00413Е84 
:00442130 3302 хог еах, еах 
:00442132 8883840100000 поу еах, Чмога рег [ебх+0000018В4] 
:00442138 ЕЗ4710ЕБЕЕ са11 00413Е84 
:00442130 33р2 хог еах, еах 
:0044213Е7 888388010000 поу еах, Чмога рЕг [ерх+0000018В8] 


5 Прокол в том смысле, что данный код был предназначен для защиты, а, следова- 
тельно, автор должен был подумать об усложнении преодоления ее. 
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:00442145 ЕЗЗА1ОЕРЕЕ са11 00413Е84 

:0044214А ВА50000000 поу еах, 00000050 

:0044214Е 88838С010000 поу еах, ЧАмога рЕёг [ебх+000001вС] 

:00442155 Е80618ЕБЕЕ са11 00413АЗ0 


* Ро5$11е ЗЕг1парафа ВеЁ Ёкгом Соае 05] ->"ЗВагемаге Пе1ау" 


:0044215А ВАА8214400 поу еах, 004421А8 

:00442152 88В838С010000 поу еах, Амога рЕг [еЪъх+000001ВС] 
:00442165 ЕЗЕЕТОЕРОЕЕ са11 00413258 

:0044216А 3302 хог еах, еах 

:0044216С 88В83С0010000 поу еах, Чмога рЕг [ебх+000001С0] 
:00442172 ЕЗ0р1ОЕБЕЕ са11 00413284 

:00442177 3302 хог еах, еах 

:00442179 8883640100000 поу еах, Чмокга рёг [ебх+000001С4] 
:0044217Р Е80010ЕБЕЕ Са11 00413Е84 

:00442184 3302 хог еах, еах 

:00442186 8883680100000 поу еах, АмогаА рег [ебх+000001С8] 
:0044218С ЕЗЕЗ1СРОЕЕ са11 00413Е84 

:00442191 8883СС010000 поу еах, Чмога рЕг [ебх+000001СС] 
:00442197 ЕЗЕЗОАЕЕЕЕ са11 00437684 

:0044219С 5В рор еБх 

:00442190 СЗ хее 


Я сразу взял чуть больше кода, захватив и несколько верхних строк. По сути 
дела, перед нами вся процедура задержки. Нет смысла пытаться понять, что 
означает та или иная команда вызова процедуры саьь, хотя легко сообразить 
(проведя небольшой эксперимент), что, например, сАТТ 00413Е8З4 убирает 
строку с экрана. 


Для того чтобы решить проблему задержки, достаточно "выключить" этот 
фрагмент из программы. Проще всего это можно сделать, поставив в начало 
фрагмента (адрес 00442123) команды РОР ЕВХ/ВЕТ, используя редактор, как 
Ше\у.ехе. После запуска исправленной программы задержка действительно 
исчезает. 


Снятие ограничения 
на количество запусков программы 


Перейдем теперь ко второй проблеме — ограничение на количество запус- 
ков. Уже из самого вида окна (см. рис. 2.25) ясно, что оно формируется в 
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самой программе. Следовательно, опять можно попытаться найти текст, ко- 
торый изображается на экране, в самой программе. Как и в предыдущем 
случае, строка отыскивается в окне ЗОВ. Дважды щелкнув по строке, ока- 
зываемся в месте программы, представленной в листинге 2.4. 





:00443326 
:00443328 
:00443329 
:0044332В 
:00443332 
:00443334 
:00443339 
:0044333Е 
:00443343 
:00443348 
:0044334Е 
:00443355 
:0044335С 
:0044335Е 
:00443360 
:00443367 


8ВСО 

53 

8ВО8 
8030ЕС56440001 
7546 
А124564400 
ЕВ4Е2СЕЕЕЕ 
А108564400 
Е87816ЕЕЕЕ 
РЕО5Е0564400 
С605ЕС56440000 
8330205644000Е 
7ТЕ1С 

6А00 
6688В0080334400 
В202 


поу 


еах, еах 
ебх 

ебх, еах 

Бусе рЕг [004456ЕС], 01 
0044337А 

еах, Чмок рЕг [00445624] 
00425Е8С 

еах, Амоха рег [00445608] 
004249С0 

ЯЧиога рег [004456Е0] 

Буёе рёг [004456ЕС], 00 

Ачога рег [00445620], 0000000Е 
0044337А 

00000000 

сх, мога рег [00443380] 


а1, 02 


* Ро55161е 5$&г1лпарафа ВеЁ Ёгом Со4е ОБ) ->"ТВ15$ ЗоЕЕмчаге Наз Вееп Узеа 
Оуег" 


:00443369 
:0044336Е 
:00443373 
:00443375 


* ВеЕегепсеЯ Бу а 
|:00443332 (С), 


| 
в8вСс334400 
ЕЗВОАЕЕЕЕЕ 
8ВСЗ 
Е84214ЕЕЕЕ 


:0044337А 3302 
:0044337С 
:00443382 
:00443387 


8883274010000 
ЕВА52ОЕЕЕЕ 
3302 


:0044335С (С) 


пох 
са11 
по 


са11 


хог 
пох 
са11 


Хог 


еах, 004433ВС 
0042Е?230 
еах, езх 


004247ВС 


(0) псопа1Е1о0па1 ог (С)оп91Е1о0опа1 Лир аф Адагеззез: 


еах, еах 
еах, Чмога рЕг [еЪх+000001Е4] 
0043612С 


еах, еах 
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:00443389 8883780100000 поУ еах, ЯЧмога рег [ебх+000001Е8] 
:0044338Е Е8982рЕЕЕЕ са11 0043612С 

:00443394 3302 хог еах, еах 

:00443396 88837С010000 поу еах, Амога рег [ебх+000001ЕС] 
:0044339С ЕЗ8В2ОЕЕЕЕ са11 0043612С 

:004433А1 3302 хог еах, еах 

:004433АЗ 8883140200000 поу еах, Чмога рег [ебх+00000214] 
:004433А9 ЕЗ7Е2ОЕЕЕЕ са11 0043612С 

:004433АЕ 5В рор еЪх 

:004433АЕ СЗ гее 


Опять мы представляем весь необходимый фрагмент (см. листинг 2.4). Про- 
смотрев текст несколько выше ссылки на искомую строку, легко обнаружи- 
ваем "подозрительные" команды: 


спр Чмога рег [00445620], 0000000Е 
31е 0044337А 


Вспомним, что программа перестает работать как раз после пятнадцати 
запусков (Т.е. оЕн в шестнадцатеричном представлении). Проще всего ис- 
править ситуацию, "забив" фрагмент программы с 0044335ЕН ПО 00443375Н 
командами моР (90н), используя программу Ше\м.ехе. В результате программа 
начинает работать уже без всяких ограничений на количество запусков. 


2.4.3. Пример 3. Разбираемся с "ЕуашаНоп сору" 
Общие соображения 


Следующим нашим примером будет попытка сделать из оценочной версии 
компилятора С++ фирмы ш версии 4.5, рассчитанной на тридцатисуточ- 
ное использование, полноценную программу. Конечно, речь не идет о до- 
бавлении какой-то функциональности компилятору, если в оценочной вер- 
сии ее нет. Нет, я всего лишь привожу пример того, как, в принципе, 
достаточно просто снимается ограничение на использование программы. 


После установки компилятора на компьютере мы находим его в каталоге 
..\сотр!Иег45\6т. Это программа 1с|.ехе. Запустим программу. На консоль- 
НЫЙ экран будут выведены следующие строки. 

Тпее1 (В) С/С++ Сотр11ек Уегз1оп 4.5 00015 

Сорух1аве (С) 1985-2000 Тпёе1 СогрогаЕ1оп. А11 х1ларё$ гезегуеча. 
Еуа]1оаЕ1оп сору. 

1с1: МОТЕ: ТЬ15$ 15$ Чау 1 оЕЁ 30 Зау еуа]оаЕ1оп рег1оа. 


1с]: Сопмапа ]1пе егког: по Ё11ез зрес1ЁЕ1еа. 
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Последняя строка вполне понятна, мы не указали в командной строке имя 
файла, содержащего текст программы на языке С. Если это сделать, то ком- 
пилятор окажется вполне работоспособным. Однако если перевести часы на 
месяц вперед, то компилятор перестанет работать, а будет выдавать строку 
"Тве еуашаНоп репо4 Па$ ехриеа" ("Оценочный период закончился"). 


Запустим ГРА Рго и попытаемся найти строки, выдаваемые компилятором. 
Вот что я обнаружил через некоторое время поиска: 


Чафа:00419С20 аСоруг19НЕС1985 ар 'Соруг1авЕ (С) 1985-2000 ТпЕе1 Согрога- 
Е1оп. А11 г1аре5$ гезех' 


.ааса:00419С20 ; БРАТА ХВЕЕ: зар 404574+31?о 
.Чафа:00419С20 ; зир 400С974+21?о 
‚.дафа:00419С20 Ч 'хеа.',ОАВ 

.аака:00419620 Ч 'Еуа1щаЕ1оп сору',0 


Обратите внимание, что это все одна строка. Момент важный. Во всяком 
случае, можно предположить, что сообщение "ЕуашаНоп сору" не связано в 
программе с какой-то проверкой ограничения на работу программы. По- 
пытка поискать строку, содержащую слова "Т|\5 15 ау", однако, успехом не 
увенчалась. Впрочем, если бы я и нашел такую строку, то в программе, ско- 
рее всего, я бы обнаружил вызов библиотечной функции раз ИЛИ ре1пеЕ, И 
для того чтобы найти строки, где проверяется ограничение на использова- 
ние программы, пришлось бы подниматься на более высокий уровень. Так 
что я принимаю решение дальнейший анализ перенести в отладчик. 


Поиски в отладчике 


Прежде чем запускать отладчик, я нахожу адрес функции ма1п В дизассемб- 
лере ПЛА Рго. Этот адрес оказывается равным 00402000н, так что, запустив 
отладчик ОПуБЬ?, я сразу ставлю точку останова на этот адрес и начинаю 
анализ программы именно с нее. 


Итак, выйдя на функцию па:1п, начнем пошаговое выполнение программы 
(клавиша <Е8>), проверяя после каждого вызова процедуры содержимое 
консольного окна. Очень скоро выходим на следующий фрагмент. 


0040204А ЕВ 71040000 САЬГ 1с1.004024С0 
0040204Е ОЕВеСО МОУСХ ЕАХ, АБ 
00402052 85С0 ТЕСТ ЕАХ,ЕАХ 
00402054 0Е84 Е5000000 ЗЕ 1с1.0040213Е 
0040205А Е8 01780000 САБ. 1с1.00409930 
00402052 ОЕВ6еСО МОУ2Х ЕАХ, АБ 
00402062 85С0 ТЕСТ ЕАХ,ЕАХ 


00402064 0284 С4000000 ЗЕ 1с1.0040212Е 
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Оказывается, процедура по адресу 0040204Ан выводит строку, содержащую 
слова "Еуашайоп сору", а процедура по адресу 0040205Ан выводит сообще- 
ние о тридцатисуточном ограничении работы с программой. Основываясь 
на предположении, сделанном в конце предыдущего раздела, обратимся 
сразу ко второй процедуре (0040205Ан). Попытка изменить команду сЕ на 
МЕ не приводит к желаемому результату. В пошаговом режиме обнаружива- 
ем, что процедура возвращает 1. Делаю простое предположение, что для нас 
в данной процедуре важно только содержимое регистра ЕАХ. Заменяю са 
1с1.00409930 на МОУ ЕАХ,1 (количество байтов и в той и в другой команде 
одинаково) и сохраняю исполняемый модуль на диск. Проверяем, и, о чудо, 
все работает, в том числе и после истечения тридцати суток. 


2.4.4. Пример 4. Снятие защиты 


Перед вами пример, как часто до цели добираешься длинным окружным 
путем вместо того, чтобы быстро пройти по короткой и ровной дороге. 
На этот раз объектом моего маленького исследования станет программа 
СегР!хе|. Программа предназначена для "снятия" с экрана цветовых пиксе- 
лов. Она попала ко мне уже вместе с программой сгаскК.ехе. Для тех, кто не 
знает: так обычно называют программы для снятия зашиты. А поскольку 
мне необходим был учебный пример, я предпочел снимать защиту без по- 
сторонней помощи (и интересно, и полезно). Замечу, что программа напи- 
сана на языке У!5иа] Вас, но я никак не использую это знание для иссле- 
дования кода. Во всяком случае известные мне декомпиляторы языка \15иа] 
Ваяс не дают сколько-нибудь полезных результатов. 


Стадия 1. Попытка зарегистрироваться 


На рис. 2.26 представлено окно программы Се{Р!хе|, которое по замыслу 
автора должно использоваться для регистрации пользователя. Поля Мате и 
Вез15таноп Софеб предназначены, соответственно, для ввода имени регист- 
рируемого и кода регистрации. При нажатии кнопки ОК делается проверка 
имени и пароля. Разумеется, когда я ввел произвольное имя и пароль, про- 
грамма выдала сообщение, что я ошибся. Иного я и не ожидал. 


Ну что же, попробуем заставить программу зарегистрировать мое имя и па- 
роль. По логике предпринимаемых мною действий начнем с поиска строк, 
содержащих слово Кер&гаНоп. 


Открываем знаменитый дизассемблер ШЛА Рго и загружаем туда нашу про- 
грамму. В окне 52$ находим сразу три строки, содержащих данное слово: 
"Кер1$%ег Зиссез$АШу!", "Кезлуханоп", "Керл%ег Еа!!" Ага, похоже мы на вер- 


6 Не прописанное на рисунке слово Соде — не моя вина: так работает программа. 
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ном пути. Начнем с первой фразы. Щелкнув дважды по строке, оказываемся 
в нужном месте окна дизассемблера: 


. Сехе:00409720 аВед1зкег5биссез: ; РАТА ХВЕЕ: .6ехё:00417ЕСЕ?О 
.фехе:00409720 ип1соае 0, <Вед1зег 5иссеззЁа11у!>,0 





Рис. 2.26. Окно регистрации программы СеРихе! 


И далее по ссылке находим следующий фрагмент: 


.Сехе:00417ЕС5 ]еа еЯх, [ебр-1348] 

.Бехё:00417ЕСВ 1еа есх, [ебр-34н] 

.Сехе:00417ЕСЕ по Чмога рег [ебр-12СВ], оЕЕзеЕ аВеа1зЕегбоассез 
"Вед1зсег Зиссез$Е111у!" 

.Сехе:00417Е08 пох Чмога рег [ефр-1346], 8 

. Сехе:00417ЕЕ? са11 95: _ ураУагВир 


Что собой представляет функция __ уЬаУагрор, сказать трудно, но похоже на 
сообщение — сообщение об удачной регистрации. Попробуем подробнее 
изучить текст программы вблизи данных строк. Чуть выше по тексту фраг- 
мента обнаруживаем: 

.Сехе:00417Е7б разв есх 

. Сехе:00417Е77 разв еах 

.Сехе:00417Е78 разв 4 
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.СехЕ:00417Е7А са11 еЯ1 ; _ \БаЁгееУаг11$% 
.Сехё:00417Е7С ааа езр, 201 
.бехе:00417Е7?ТЕ стр [ебр-1А8 В], Бх 
.Сехе:00417Е8 6 92 1ос_4181А4 


Это уже настораживает. Посмотрим, что находится по адресу 1ос_4181А4. 
Переходим и чуть ниже обнаруживаем еще один фрагмент: 


.бехё:00418268 оу Чмога рег [ефр-12Ср], оЕЁзеё аКед1зсегГа1]еа 

; "Вед1з%ег Еа1]еа!" | 

‚Сехе:00418272 пох Чмога рёг [еюр-13С6], оЕЁзеё аР1еазе\у15$1% 
"Р1]еазе \151%" 

.Сехе:0041827С гоу Чиога рёг [ебр-14Ср], оЕЁзее аНеЕр\ии апаоо_ 

; "БЕБр: / /млмм. айтоо. сом/аеЕр1хе]1" 

.сехё:00418286 пох Чмога рег [ефр-15СВ], оЕЁзеЕ аТобееУоцгВед15 
"Бо деЕ уойг гедуэфег соае" 

.Сехё:00418290 са11 ерх ; _ уБа\агСае 


Ага, сообщение о неудачной регистрации и приглашение на сайт. Да, похоже 
мы на верном пути. Запускаем Ше\32.ехе и находим адрес .тех+:00417Е86. 
Вводим 6 байтов 905 (мор). Выходим, запускаем программу. Далее в окне 
регистрации вводим произвольное имя и код и получаем сообщение, что 
зарегистрированы. Ура, задача решена!? Однако не тут-то было. 


Стадия 2. Избавляемся от надоедливого окна 


Но трудности этим не заканчиваются. Пока после регистрации я не выходил 
из программы, окно регистрации сообщало, что мы зарегистрировались. 
После перезапуска окно опять стало показывать, что копия не зарегистри- 
рована. Кроме этого, при перезапусках с некоторой вероятностью стало по- 
являться окно, представленное на рис. 2.27. При нажатии кнопки Да про- 
грамма пытается выйти на сайт создателя, в случае нажатия кнопки Нет 
программа продолжает свою работу обычным способом. 


В том же каталоге, где расположена программа, я обнаруживаю файл 
скИскКте.ге?, который содержит скрипт для записи в реестр правильного 
имени и пароля, если, конечно, мы их знаем. Обращаюсь к реестру по най- 
денному в скрипте адресу. Оказалось, что-то имя и пароль, которые мы вве- 
ли, записались именно туда. По-видимому, программа при запуске сравни- 
вает их с некоторыми эталонными значениями, которые мы не знаем и, 
забегая вперед, не узнаем, а далее указывает в окне, что программа так и не 
зарегистрирована. Кроме этого, с некоторой вероятностью при запуске вы- 
дается окно-"надоедало" (рис. 2.27). 


Но давайте действовать по порядку, и разберемся сначала с надоедливым 
окном. Начнем с поиска строки "Но\ 4о уои Еее! те?" в окне 52$ РА 
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Рго. Легко находим ее и обращаемся к участку кода, где есть ссылка на эту 
строку. Вот эти строки: 


.Сехе: 00408217 разв еах 

.Сехё:00408В218 оу Чмога рег [ебр-0р01], оЕЁзеЕё аНомроУочЕее1Ме 
"Ном Ао уоц Еее1 ме?" 

.ехе:00408В222 ох мог рег [ефр-0ЕОР], оЕЁзеЕ аТМапЕТоВеСопЕ1 
"Т мапЕ бо Бе сопЕ1хмеа :-)" 

‚ Сехе:0040822С са11 ез1 ; _ \БаУагСа® 

.Еехе:00408В22Е ]еа есх, [ебр-0ЕЗВ] 

.сехё:00408В234 разв еах 

. Сехё:00408235 1еа еах, [ебр-981] 

. Сехё:0040823В разв есх 

.Сехе:00408В23С разв еах 

. Сехе:0040в23р са11 ез1 ; _ УБаУагСа® 

. Сехё:0040823Е ро$й еах 

.Сехё:00408В240 са11 45: геСМзавВох 


вере _ 





Рис. 2.27. Окно-"надоедало“" 


Очевидно, ЧТО са11 геСсМздВох — это как раз вызов ФУНКЦИИ МеззадевВох. 
Разумеется, эта функция нам не нужна и мы можем забить ее мор. Но пого- 
дите. Ведь она должна предлагать выбор, и мы должны выбрать Нет. Опус- 
тимся немного вниз. Вот этот фрагмент: 


.Сехе:00408В2В6 са11 аз: _ уБаУагТз®Еа 

. Еехе:004082ВС сезЕ ах, ах 

.Сехе:0040в2ВЕ 32 ЗНогЕ 10с_ 408305 

. Сехе:00408В2С1 поУ ез1, 5: урабегТоАп$1 
.Сехе:004082С7 разв 1 

„Сехе:004082С9 1еа еах, [ебр-601] 


.Сехё:004082СС разв ОЕЕзее аС ; "С:\\" 
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.бехё:00408201 ‘` разв еах 

. Сехе:00408202 са11 ез1 ; __ УЮа5ЕгТоАп$1 
.СехЕ:004082104 разв еах 

.Сехё:00408215 разв 0 

.СбехЕ:00408207 Леа еах, [ебр-5Ссв] 
.СехЕ:00408В2РА разв ОЕЁзеЕё аНЕЕрИми а1тоо_; 
"ВЕЕр: / /ммми. а1тоо. соп/деЕр1хе1" 

.СехЕ:0040820Е разв еах 

‚ Сехе:004082Е0 са11 ез1 ; _ УБа5&гТоАп$1 
.Сехе:004082Е2 разр еах 

‚Сехе:00408В2ЕЗ ра$В 0 

.Сехё:004082Е5 разв 0 

. Еехё:004082Е?7 са11 зар 407СвОо 
.Сехе:00408В2ЕС са11 95: _УБабеебузеемЕггог 


Очевидно, что если условие равенства нулю содержимого регистра ЕАХ не 
выполнится, то как раз и будет вызываться сайт автора. Таким образом, сле- 
дует заменить 52 на омР $НОВТ — и все. 


Запускаем №ше\32.ехе и вносим изменения в два указанных фрагмента. Не 
забываем, что забивать надо и сам вызов процедуры, и команды РОЗн к ней. 
В результате действительно раздражающее меня окно перестает запускаться. 


Стадия 3. Доводим регистрацию 
до логического конца 


Ну что же, теперь осталось последнее — заставить программу поверить, что 
в реестре находятся правильные регистрационные данные. По-видимому, 
разумно предположить, что есть какая-то процедура, которая и проверяет 
правильность пароля. 


Признаюсь, что тут я плутал около часа, используя попеременно то дизас- 
семблер, то отладчик ОПуОБ?. Мне надо было сразу сообразить, как до- 
браться до этой процедуры. Вот этот путь я вам сейчас и опищу. 


Прежде всего, надо было обратить внимание на название полей в реестре, 
которые заполняются при регистрации. Это поля Тсеп$е и Ве?Озег. В поле 
Псепзе как раз пароль и записывается. Вот и поищем эту строку. 


Строку мы обнаруживаем. Она встречается в двух местах. Это уже обнаде- 
живает: к паролю обращаются при запуске программы и из окна регистра- 
ции. Глядим на дизассемблированный текст и видим, что в одном случае 
используется функция гусбекЗеск1па, а во втором — функция 
гесбауе$ес&1па. Ну, тут уже все ясно. Первая функция читает пароль, а 
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вторая записывает. Данные об этих функциях есть в М5ОМ. Очевидно, что 
нам следует обратить внимание именно на первую функцию. 


Переходим к нужному фрагменту и, спускаясь по тексту вниз, пытаемся по- 
нять логику программы. Двигаясь вниз, будем отслеживать только небиб- 
лиотечные процедуры. Какая-то из них, скорее всего, и будет процедурой 
проверки правильности пароля и имени. 


Вначале мое внимание привлек следующий фрагмент: 


.Техе:0040АЕ00 ]еа еах, [ебр-781] 
.Сехс:0040АЕОЗ разв еах 
. Сехе:0040АЕО4 са11 зиь 415160 


Что помещают в ЕЗХ? Запускаем отладчик, ставим точку прерывания на ад- 
рес 40аеоз. Смотрим, на что указывает в стеке регистр ‚ох. Оказалось, что 
на имя, полученное из реестра. Пароля здесь нет. Следовательно, процедура 
не та, что нам нужна. И мы двигаемся далее. А вот это уже интересно: 


.сехе:0040АЕ5С ]еа еах, [ебр-881] 
.бехе:0040АЕ62 ]еа еах, [ебр-781] 
. Сехе:0040АЕб5 разв еах 
.Сехе:0040АЕб6 разв еах 

‚ Сехе:0040АЕб7 са11 зоб 416070 


Из отладчика узнаем, что ‚ох указывает на строку, состоящую из имени и 
пароля — где-то по дороге их объединили. Выполняем в отладчике процеду- 
ру — она возвращает о в регистре ЕАх, а 0 во многих языках — это Еа1зе. 
Ну, что же, пожалуй, пришло время эксперимента. 


Запускаем Ше\32.ехе и вместо фрагмента 


.Сехе:0040АЕ65 разв еах 
.Сехе:0040АЕб6 разв еах 
. Сехе:0040АЕ67 са11 зар 416070 


ставим команду моу кАХ, 1, а остальные байты забиваем байтами эон. Запус- 
каем программу, входим в окно регистрации... И, о радость, мы зарегистри- 
рованы! 


Стадия 4. Неожиданная развязка 


Теперь я вам скажу, что имеется куда более короткая дорога к правильному 
результату. Ну, конечно, наверное, вы уже догадались. Нужно просто обра- 
титься по адресу 00416070н, т. е. адресу, где начинается процедура проверки 
пароля, и в самом начале ее поставить всего две команды: моу ЕАХ, 1, ВЕТМ 8. 
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И все, больше ничего не надо. Не нужны все три описанные здесь стадии. 
Я мог бы, конечно, сразу дать читателю готовое короткое решение. Но: 


О при реальном анализе часто задача решается как раз не самым коротким 
путем. Короткое изящное решение приходит после. А, следовательно, 
обучаться на красивых решениях — это неправильный прием; 


С в конце концов, какая разница, каким путем шел исследователь, важно 
другое — задача решена. 


Я думаю, у читателя возник еще один, более частный вопрос. В своем ре- 
шении я основывался на информации, полученной из найденного в ката- 
логе скрипта. Из него я узнал, где записываются имя и пароль при регист- 
рации программы. А если бы не было скрипта? Да нет проблем! Можно 
воспользоваться каким-нибудь монитором, отслеживающим доступ к реест- 
ру. А если нет монитора, то и прямой анализ дизассемблируемого текста 
вполне годится. Функции гесбауе$е {114 И гЕсбефбесе1пта Так и напраши- 
ваются для анализа. 
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Основные парадигмы 
анализа исполняемого кода 


В разд. 2.4 я привел несколько простых примеров анализа и исправления 
исполняемого кода. Задача данной главы — заложить некоторую теоретиче- 
скую базу. Опираясь на нее, можно переходить и к более сложным случаям 
исследования. 


Говоря об анализе кода, надо понимать, что это не синоним декомпиляции, 
т. е. перевода двоичного исполняемого кода в программу на языке высокого 
уровня. И хотя в данной главе мы будем говорить о программных конструк- 
циях языков высокого уровня, все же нашей главной целью является не вос- 
становление исходного текста программы, что в общем случае нельзя сде- 
лать, а понимание логики программы. Примеры, приведенные в разд. 2.4, 
являются демонстрацией анализа кода, направленной на решение вполне 
конкретных задач (анализ кода в заданном контексте). Мы решили эти за- 
дачи, абсолютно не пытаясь понять, какие программные конструкции того 
или иного языка программирования были использованы. Но при решении 
более сложных задач нам не обойтись без знания этих конструкций и пони- 
мания того, как эти конструкции отражаются в двоичном коде после ком- 
ПИЛЯЦИИ. 


Даже у одного языка программирования может существовать множество 
компиляторов. К таковым, в частности, относится язык программирования 
С++. Кроме этого, у каждого компилятора, как правило, существует не- 
сколько режимов компиляции, обычно связанных со способами оптимиза- 
ции результирующего кода, а также добавления в исполняемый код различ- 
ных проверочных процедур (например, проверка выхода за границы 
буфера). Сказанное я представил на рис. 3.1. Изучить всю изображенную на 
рисунке иерархию в общем случае невозможно, да и не нужно. Надо понять 
лишь закономерности формирования исполняемого кода. 


200 Глава 3 





Надеюсь, что материал, представленный в данной главе, поможет овладеть 
этими закономерностями. Весь анализ исполняемого кода в данной главе 
производится на основе лучшего в настоящее время дизассемблера ЛА Рго. 
В главе 5 можно найти справочные материалы по этой программе. 


Языки 


Компиляторы 


Режимы 
компиляции 





Рис. 3.1. Иерархия "язык — исполняемый код” 


3.1. Идентификация данных 


Идентификацию данных мы уже обсуждали в разд. 1.6, но там я говорил о 
языке ассемблера. Анализировать код, написанный на языке ассемблера, и 
проще, и сложнее. Проше, потому что вы пишете тот самый код, который 
затем и окажется в откомпилированной программе. Труднее, потому что 
язык ассемблера не накладывает на программиста практически никаких 
ограничений, и, значит, все зависит от внутренней дисциплины программи- 
ста и задач, которые он ставит перед собой. Если вам требуется запутать бу- 
дущего исследователя вашего кода, то лучше языка ассемблера вы не найдете. 
Когда мы пишем программу на языке высокого уровня, то, что в результате 
получится после компилирования вашего текста, абсолютно не ясно. Более 
того, большинство программистов, пишущих, скажем, на У15иа! С+-+ или 
Перш, никогда и не задумываются над тем, что из их программы сделает 
компилятор. При анализе такого кода приходится "продираться" через: 


О особенности работы компилятора; 
О стиль самого программиста. 


Данный раздел посвящен вопросу идентификации данных, используемых в 
языках высокого уровня. 
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3.1.1. Глобальные переменные 


Есть мнение, что глобальные переменные вредны для программирования. 
Однако ими пользуются и будут пользоваться, а, следовательно, нам надо 
учиться их распознавать. 


Влияния оптимизации 

Об оптимизации по скорости выполнения и объему кода 

Начнем наши изыскания с очень простой программы, написанной на языке 
С++!. Она представлена в листинге 3.1. Программа содержит три глобаль- 
ные переменные. Одна из трех глобальных переменных не инициализиро- 
ванная. 





#10с]1о4е <з&@1о.[> 
106 а, Ю=20, $=0; 
У0о1А та1п () 
{ 
а=10; 
5=а+Ь; 
рг1пЕЕ("%а", $); 
}; 


Посмотрим, что из этого простого текста сделает компилятор \!5иа| С++ 
(\15иа] Зшаю .МЕТ 2003). Загрузим исполняемый модуль, откомпилирован- 
ный с опцией “оптимизация отсутствует", в дизассемблер ГРА Рго. В лис- 
тинге 3.2 представлен дизассемблированный текст. Надеюсь, вы легко раз- 
беретесь в дизассемблированном тексте, который я снабдил также своим 
кратким комментарием. 


ава 
й 









У 


.Сехе:00401000 па1п ргос пеаг ;СОБЕ ХВЕЕ: з$агу+16Е?р 
.бехе:00401000 разр ебр 
. Сехе:00401001 оу ебр, езр 


' Можно было бы сказать и С, поскольку здесь не используются никакие возмож- 
ности, появившиеся в языке С++. Не будем обращать на эти нюансы внимание, 
тем более что все равно будем иметь в виду два наиболее известных компилятора — 
\Увца! С++ и Войапа С++. 
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.сехё: 00401003 ОУ Чмога_4086Е0, ОАП ;а=10 

.бехе:00401000 пох еах, Чмога_ 4086Е0 ;а->еах 

.Еехе:00401012 ааа еах, Ямога 408040 ;а+р->еах 

.Сехе:00401018 пох Чмога_4086Е4, еах ;еах->$ 

.Сехё:0040101р оу есх, Ямога_ 4086Е4 ;5$->есх 

. Сехе:00401023 разр есх 

.Сехе:00401024 ризй оЕЁзеё ипк 4060ЕС ;формантная строка ргапеЕ 
.Сехё:00401029 са11 ргапЕЕ 

.бехе:0040102Е ааа езр, 8 

. Сехе:00401031 хог еах, еах 

. Сехе:00401033 рор еБр 

.Сехе:00401034 геёп 

.Сехе:00401034 па1п епар 


Комментарий к листингу 3.2 


Какие интересные моменты можно почерпнуть из листинга 3.2? 


С Прежде всего, мы видим, что ГРА Рго прекрасно справился с распозна- 


ванием глобальных переменных. Впрочем, что же здесь удивительного? 
В тексте есть прямые ссылки на глобальные переменные (амога_4086Е0, 
Чиога_4086Е4, Чмога_408040). Ассемблерные же команды вполне опреде- 
ленно говорят нам о размере переменных. Размер переменных — весьма 
важная проблема дизассемблирования. Далеко не всегда удается четко 
узнать этот размер. Обратите внимание, что переменная ь (амога_408040) 
расположена отдельно от двух других переменных. Дело в том, что ком- 
пилятор считает переменные а (диока_4086Е0) И $ (Ч9мога_4086Е4)? не- 
инициализированными переменными. Но об этом будем подробно гово- 
рить в разд. "Размер, расположение и тип переменных" далее в этой главе. 


С Даже не очень искушенный программист обнаружит, что откомпилиро- 


ванный текст страдает избыточностью: 


® это иролог (РОЗН ЕВР/МОУ ЕВР,ЕЗР) И Эпилог (РОР ЕВР) функции, о кото- 
рых мы будем говорить в разд. 3.2.1. В данной функции эти элементы 
абсолютно лишние, поскольку регистр ЕВР используется для адреса- 
ции стековых переменных и параметров, а таковые в данной програм- 
ме отсутствуют; 


» переменная а инициализируется, а затем используется при сложении. 
Поскольку ее значение не выводится и никак более не используется, 
то вместо переменной а Можно использовать простую константу, 


2? Начальная инициализация 5 не имеет никакого смысла, т. к. начальное значение 


5 нигде не используется. 


Основные парадигмы анализа исполняемого кода 203 


» бросается также в глаза абсолютно ненужное использование для пере- 
менной з области памяти. Действительно, поскольку результат сложе- 
ния оказывается в регистре Ах, то далее логично именно его исполь- 
зовать в качестве переменной з. Другими словами, переменную з 
неплохо бы сделать регистровой. 


На листинге 3.3 представлен дизассемблированный код той же самой про- 
граммы (см. листинг 3.1), которая была откомпилирована с опцией "созда- 
вать быстрый код". Как видим, исчезли пролог и эпилог функции. Ну, да 
ладно, о них пока речь не идет. Интересно, как получается сумма (пере- 
менная з). Суммирование осуществляется путем сложения содержимого 
регистра с константой, что, разумеется, выполняется гораздо быстрее, чем 
сложение регистра с переменной. Кроме того, обращает на себя внимание 
группировка команд. Вначале значения отправляются в стек, а затем идут 
две команды пересылки данных. Этот прием, основанный на свойствах про- 
цессора РепНит, называется спариванием. Суть его заключается в том, что 
две команды, удовлетворяющие определенным условиям, выполняются па- 
раллельно друг другу. Другими словами, две команды выполняются по ско- 
рости как одна. Итак, часть наших пожеланий компилятором выполнена. 


Замечание 


Современные |мще!-совместимые процессоры имеют два конвейера для выпол- 
нения инструкций. Их называют У-конвейерами и \-конвейерами. При опреде- 
ленных обстоятельствах процессор будет выполнять две идущие друг за дру- 
гом команды в разных конвейерах, в результате скорость выполнения 
практически удвоится. Существуют инструкции, которые могут выполняться 
только в конвейере Ц, другие инструкции могут выполняться только в конвейе- 
ре \, наконец, есть инструкции, которые могут выполняться в обоих конвейерах. 
Зная это, можно группировать команды процессора так, что скорость выполне- 
ния программы будет значительно увеличена. Современные компиляторы 
"знают" эту особенность процессоров, поэтому, встретив в исполняемом коде 
необычный порядок следования инструкций, в первую очередь следует вспом- 
нить о спаривании инструкций. 





. Сехе:00401000 ма1п ргос пеак ; СОБЕ ХВЕЕ: зваг®+16Е?р 
.Сехе:00401000 шоу  еах, Ямога_ 408040 ;ю->еах 

.бехе:00401005 ааа еах, ОАР ;сумма здесь 

‚Сехе:00401008 разр еах 

.Сехе:00401009 ризп оЕЁзее ипк 4060ЕС 

. Сехе:0040100Е поу  Чмога_4086Е0, ОАП ;10->а 


.бехе:00401018 пох Чмога_4086Е4, еах ;еах->3 
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. Сехе:0040101р са11 реалпЪЕ 


.5ехе:00401022 ааа езр, 8 
.Сехе:00401025 хог еах, еах 
.бехе:00401027 геёп 


.Сехе:00401027 па1п епар 


Нопробуем теперь провести оптимизацию по объему кода. Дизассемблиро- 
вание показывает, что изменение в коде минимально (по отношению к лис- 
тингу 3.3): команда Арр ЕЗР, 8 меняется на пару команд рРОР ЕСХ/РОР ЕСХ, ПО 
байту каждая, команда же Арр ЕЗР, 8 занимает три байта. 


Для чего я привел все эти примеры? Конечно, не для того, чтобы изучать 
способы оптимизации. Для этого необходима отдельная книга. Я хочу под- 
готовить вас морально и немного теоретически к тому, что код, который вы 
будете анализировать, благодаря оптимизации может оказаться весьма не- 
обычным. Впрочем, в дальнейшем о многих способах оптимизации мы еще 
будем говорить, и неоднократно. 


С Замечание ) 


Из вышесказанного, в частности, вытекает, что тягаться с компилятором в деле 
оптимизации (особенно по скорости) исполняемого кода — дело совсем непро- 
стое. Данный пример достаточно прост, но представьте себе, что ассемблерный 
код состоит из сотен команд. Оптимизировать его вручную — совсем нелегкая 
задача. Так что во многих случаях приходится полагаться на компилятор, осо- 
бенно, если речь идет о таком продукте, как Миа! С++, который всегда сла- 
вился своими оптимизационными способностями. 





Оценка времени выполнения 


При оптимизации текста программы важным вопросом является оценка 
времени выполнения того или иного фрагмента кода. Достаточно просто это 
можно сделать с использованием двух АР!-функций. Первая функция — 
ОцегуРегЕогмапсеСоцп*ек. Единственным ее аргументом является указатель 
на структуру ТАВСЕ ТМТЕСЕВ. При правильном выполнении функции в 
структуру будет помещено количество тактов, прошедших с начала запуска 
программы. Вторая функция ОпегуРегЕогтапсеРхеацепсу Также своим аргу- 
ментом содержит указатель на структуру ТАВСЕ_ТМТЕСЕВ. В эту структуру 
помещается тактовая частота. Итак, если | И [> — это количество тактов на 


начало и конец исследуемого промежутка программы, /. — тактовая часто- 


та, то количество миллисекунд, которые приходятся на выполнение данного 
программного фрагмента, выразятся формулой: 


(6 -1)х1000 
Л. | 
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Разумеется, речь идет об оценочных результатах, т. к. говорить о точном 
значении времени выполнения программного фрагмента в многозадачной 
среде не приходится. 


Указатели на глобальные переменные 


Язык С невозможно представить без указателей. Это квинтэссенция данного 
языка и его судьба. Вместо переменной можно оперировать указателем на 
переменную. Для управления указателями компиляторы используют кос- 
венную адресацию. Впрочем, это утверждение достаточно очевидно. Если 
$ — ЭТО некоторый указатель на данные, тогда выполняем команду моу 
ЕОХ,з, И Доступ к данным осуществляется через [Ерох]: например, команда 
МОУ БАХ, [ЕБх] осуществляет перенос четырехбайтовой величины из области 
данных в регистр ЕАХ. 


В программе из листинга 3.4 одна из глобальных переменных определяется 
указателем. В листинге 3.5 представлен дизассемблированный листинг ис- 
полняемого кода программы. 





#1п0с1аае <зЕЯ1о.Н> 
#10с1аае <зЕа11ь.Н> 
10 а, Ь=20; 


116 * $3; 
У01а па1пт() 
{ 
= (106*}та11ос (4); 
а=10; 
*з=а+Ь; 
ре1пЕЁ ("$%4", *$); 


Егее (3); 


КОЛО 





.Сехё:00401000 па1п ргос пеаг ; СОБЕ ХВЕЕ: зтагЕ+16Е?р 
.Сехе:00401000 разб ебр 

.Сехё: 00401001 ОУ ебр, езр 

.Сех®:00401003 разр 4 ;резервируем 4 байта 


. Сехё:00401005 са11 а11ос 
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.Кехе:0040100А ааа езр, 4 ;учистим стек 
.Сехо:00401000 поУу  Чмога_4086С0, еах ;переменная 

; содержит указатель 
.Сехе:00401012 пох Чиога_4086С4, ОАП ;а=10 
. Сехе:0040101С поу  еах, Чмога 4086С4 ;а -> еах 
.бехе:00401021 ааа еах, Ямога 408040 ;а+Ъ -> еах 
.Еехф:00401027 пох есх, Чмога 4086С0 ;адрес указателя в ЕСХ 
.Еехе:00401020 пох [есх], еах ; сумма по адресу, на 


; которую показывает 


;указатель 
.Еехё:0040102Е ом еЯх, @мога 4086С0 ;указатель -> ЕШХ (???) 
.Сехе:00401035 поУу еах, [еах] ; сумма -> ЕАХ 
.Сехе:00401037 разН еах ; сумма в стек 
.СехЕ:00401038 разр оЕЁзефс ипк 4060ЕС ;форматная строка 
.Еехе:0040103р са1]1 рке1пЕЕ 
.Сехе:00401042 ааа езр, 8 
. ехё:00401045 пох есх, ЯЧмога 4086С0 ;указатель -> ЕСХ 
. Сехё:0040104В разп есх 
. Сехе:0040104С са11 Егее ; освобождаем указатель 
. Еехе:00401051 аа —езр, 4 
.Сехе:00401054 хог еах, еах 
.Сехе:00401056 рор ебр 
.Еехе:00401057 геи 


.Сехе:00401057 ма1п епар 


Комментарий к листингу 3.5 


Заметим, что в листинге 3.5 дважды применяется косвенная адресация (че- 
рез регистры ЕСХ и ЕФх). Второе использование косвенной адресации (через 
ЕОХ), конечно, вызывает недоумение, ведь в ЕСХх уже содержится адрес пере- 
менной з. Так зачем же еще использовать Ерх? Впрочем, вопрос-то ритори- 
ческий. Я ведь компилировал программу, указав компилятору, что оптими- 
зации никакой не требуется. Поэтому компилятор сгенерировал один 
фрагмент для записи через указатель, а второй фрагмент — для чтения через 
указатель. 


Итак, какой вывод можно сделать из всего сказанного? Ответ очевиден: ес- 
ли при беглом просмотре дизассемблированного текста вы видите использо- 
вание косвенной адресации, следовательно, в исходном тексте программы 
скорее всего присутствуют указатели. 
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Глобальные переменные и константы 


Приступим к рассмотрению довольно тонкого вопроса: как отличить адрес 
глобальной переменной от обычной константы? 


Посмотрим внимательно на программу из листинга 3.6. Переменным а, Ь, с 
присваиваются некоторые числовые константы, а затем выводятся при по- 
мощи стандартной библиотечной функции вывода на консоль. Текст на С 
совершенно корректен, однозначен и не может вызывать никаких двусмыс- 
ленных толкований. Но посмотрим, как после трансляции исполняемый код 
будет трактоваться дизассемблером ПРА РГго (листинг 3.7). 





#$1пс1]а9е <5&а1о.В> 


106 а,Ь,с; 
у01А та1п() 


{ 


а=10; 

Ь=20; 

с=0х40864а0; 

рез Ё("$а $а %$А\п", а,Ъ, с); 





.бехе:00401000 ма1п ргос пеак ; СОБЕ ХВЕЕ: $%&ах%*+16Е?р 
.Еехе:00401000 разр еБр 

‚ Еехе:00401001 поу  ефр, езр 

.Еехе:00401003 ФА Чмога 4086С8, ОАБ 
‚сехе:0040100р поу  Чмога_4086С0, 148 
.ехе:00401017 пох Чиога_ 4086С4, оЕЁзеЕ пк 408600 
. Сехе:00401021 оу  еах, Чмога_4086С4 
.Сехе:00401026 разп еах 

.ехё: 00401027 пох есх, Чмога 4086С0 
„.Еехё:00401020 разр есх 

.Сехё:0040102Е поу  еах, амога_4086С8 
„.Еехе:00401034 разр е@ах 

‚Сехе:00401035 разн оЕЁзеф арор ; "за $а %$Аа\п" 
.Сехе:0040103А са11 ркеапЕЕ 


.Еехе:0040103Е ааа езр, 108 
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„.СехЕе:00401042 хог еах, еах 
.Сехе:00401044 рор ебр 
.Сехе:00401045 тей 
.Еех®е:00401045 па1п епар 


Комментарий к листингу 3.7 


Итак, внимательно посмотрим на листинг 3.7, который мы получили с по- 
мощью программы ПЛА Рго. Метка диога_4086с8 — это, очевидно, пере- 
менная а, метка амога_4086С0 — переменная ь, метка амога_ 4086С4 — пе- 
ременная с. Но что это? В переменную амога_4086с4 засылается адрес 
ячейки опк_ 408600. Какая ячейка? Число 0х408600 — просто константа! 
Однако ПЛА Рго посчитал это число адресом. Вот как! Правда, префикс иок_ 
означает, что дизассемблер все же сомневается в том, что скрывается за 
этим адресом. Но если дизассемблер сомневается, то при анализе мы долж- 
ны принять вполне однозначный вывод. Правда, данный текст весьма 
прост, и сделать однозначный вывод совсем несложно. Мы не будем сомне- 
ваться, как это сделал ГРА Рго. Как ни странно на первый взгляд, но в дан- 
ной ситуации дизассемблер \/32Пазт оказывается на "высоте", но не в силу 
своих выдающихся способностей по распознаванию адресов и констант, а в 
силу того, что таковые способности у него как раз и отсутствуют, и он всё 
(или почти всё) считает константами. 


А как вы думаете, что произойдет, если переменной с будет присвоено зна- 
чение 0х4086с0? Думаю, вы уже догадались. Ведь дизассемблер ПЛА Рго по- 
лучит дополнительное подтверждение, что это адрес какой-то переменной. 
Вместо команды моу Чмога_4086С4, оЕЁзее ипк_408600 в листинге появится 
по Чмога 4086С4, оЕЕзек анога_4086с0. Итак, дизассемблер более не со- 
мневается, что перед нами переменная, но мы-то знаем, что это не так. Бо- 
лее того, мы легко сделаем такой вывод из листинга дизассемблера. 


Однако вот какой вопрос меня мучает. Дизассемблер — это программа, и ей 
необходим строгий критерий, который можно было бы реализовать алго- 
ритмически. В нашем случае, где нет команд, которые бы подтверждали 
(или опровергали), что перед нами адрес, нельзя найти иного критерия, 
кроме как диапазон, попадание в который делает константу претендентом 
на адрес. Каков же диапазон в нашем случае? Да все очень просто. Имеется 
диапазон адресов, который отведен для данных. Попадание в этот диапазон 
дизассемблер ЛА Р!го рассматривает как один из признаков адреса данных. 
Но есть еще диапазон адресов кода. Например, если в нашем случае взять 
константу равной 0х401000, то дизассемблер посчитает, что перед нами ад- 
рес функции па1о. Причем ГРА Рго не просто станет "подозревать" кон- 
станту, но будет уверен, что это в действительности адрес. 
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Итак, каков же вывод? Вывод один — "4е отпфи$ дибцапдит", т. е. "под- 
вергай все сомнению". Разумеется, если с подозрительной константой об- 
ращаются как с адресом, например, используют команду ТЕА, здесь уже 
можно говорить об адресе с большей уверенностью. А уж если вы увидели, 
что константа затем используется в косвенной адресации или в качестве па- 
раметра функции, который по определению является адресом, то здесь со- 
мнения должны оставить вас. 


Размер, расположение 
и тип переменных 


Когда-то, очень давно, во времена М$-РО5$, в одном пособии по Паскалю я 
встретил утверждение, что использование однобайтовых переменных вместо 
двухбайтовых ускоряет работу программы. Я не поленился и заглянул в ас- 
семблерный код программы. Оказалось все совсем не так. Я написал об 
этом в своей первой книжке "Ассемблер: учебный курс" ([3]). А как обстоит 
дело сейчас, в 32-битной системе? Есть ли смысл использовать однобайто- 
вые и двухбайтовые переменные вместо четырехбайтовых? Где располагают- 
ся переменные, и как дизассемблер может определить их размер? Все это 
мы рассмотрим в данном разделе. 


Начнем с примера, подобного тому, который я разбирал в разд. 1.1.3. Вот 
этот фрагмент: 


ВУТЕ е=0хаБ; 
МОВР с=0х1234; 
ОМОВО Ь=0х34567890; 


Если обратиться к памяти, то обнаружим, что все переменные выровнены 
по границе, кратной 4. Но оказывается, что причиной такого выравнивания 
является всего лишь порядок объявления переменных. Например, если взять 
следующий порядок 


ИОВ с=0х1234; 
ВУТЕ е=0хаь; 
ОИОВО =0х34567890; 


то компилятор расположит переменные в памяти так, что первые две пере- 
менные окажутся в двух соседних словах. Переменная же ь, как и прежде, 
будет расположена на 4-байтовой границе. Существуют оптимальные требо- 
вания к выравниванию данных. В табл. 3.1 представлена информация о вы- 
равнивании данных различных размеров. 
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Таблица 3.1. Оптимальные требования к выравниванию данных 


Размер Кратность Размер Кратность 
данных выравнивания данных выравнивания 
1 байт 1 (выравнивания нет) | 8 байтов 8 

2 байта 2 10 байтов 16 

4 бата 4 16 байтов 16 

6 байтов 8 








#1пс1оае <э5А1о.1> 


#1пс1а4е <и1паом$.В> 
ИОВО Ь=10; 

ВУТЕ а; 

ОИОВО с; 

уо1А па1п() 


{ 

а=10; 

с=30; 

ре1пЕЁЕ("%а %а %А\п", а,Б, с); 
}; 


Пример куда уж проще! Однако здесь есть одна изюминка, которая поможет 
нам раскрыть некоторые закономерности расположения переменных в па- 
мяти. Суть в том, что переменные а и с — это неинициализированные 
переменные. Значения им присваиваются прямо в тексте программы. Пере- 
менная ь — инициализированная. Есть ли разница между этими перемен- 
ными? Оказывается, есть. Откомпилируем программу с помощью компиля- 
тора \У15иа1 С++ и дизассемблируем исполняемый модуль при помощи [РА 
Рго. Не утруждая читателя листингами, скажу, что в ГРА Рго все перемен- 
ные расположатся в секции „даа. Однако вспомним материал разд. 1.5.3, где 
говорится, что инициализированные переменные помещаются в секцию 
„.4аа, а неинициализированные переменные — в секцию .555. Интересно, 
что из листинга ГРА Р!го видно, что хоть все переменные находятся в одной 
секции, но в разных ее частях: в начале располагается инициализированная 
переменная, а затем, через достаточно большой промежуток, две неинициа- 
лизированные переменные. Чтобы понять причину такого явления, отком- 
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пилируем программу с ключом /гГаз, что приведет в процессе компиляции к 
генерированию промежуточного ассемблерного листинга. Просматривая ас- 
семблерный листинг, мы обнаруживаем интересный факт. Действительно в 
листинге присутствуют два сегмента с именами _дака (с инициализирован- 
ной переменной) и ъ55 (с неинициализированными переменными), кото- 
рые впоследствии должны перейти в соответствующие секции. Но дело в 
том, что компилятор знает хорошо названия сегментов _ь3$ И _даха и впо- 
следствии объединяет их в одну секцию .ааа. При этом данные, располо- 
женные в сегменте Ъзз, всегда идут после данных сегмента _даха. Чтобы 
проверить это утверждение, напишите простую программу на ассемблере с 
двумя сегментами данных (_ь$$5 И _дака). В результате компоновки останет- 
ся одна секция данных .даа. Если же слегка изменить имена сегментов, на- 
пример, взять 5331 вместо _Ьзз, то в исполняемом модуле будут две сек- 
ции: даа и _5$5$1 (с подчеркиванием). 


Мы проверили компилятор \У15иа|! С++. А как у других компиляторов? Про- 
верка программы из листинга 3.8 компилятором Во|апа С++ 5.00 показала 
полностью аналогичную ситуацию. Ассемблерный код содержал два сегмен- 
та данных: _Чафа И _Ь35$. 


Обратимся теперь к вопросу: как при дизассемблировании определить раз- 
мер переменной? Можно дать общий ответ на этот вопрос: это можно сде- 
лать на основе анализа команд, оперирующих с этой переменной. И это 
очевидно, ведь переменная проявляет себя в том, какие действия над ней 
производятся. Пора нам вспомнить материал разд. 1.4, где мы обсуждали 
формат команд микропроцессора 1ие!. Рассмотрим простую операцию при- 
своения числовой переменной некоторого целого значения. На С эта операция 
выглядит просто так: ь=10. Соответственно ассемблерная команда в общем 
случае будет иметь вид моу [мем],10. Однако мы знаем, что в ассемблере 
при таких операциях обязательно требуется указать тип переменной 
(например, Бусе рек). Разумеется, тому есть веская причина. Действительно, 
есть существенная разница между помещением числа 10 в переменную типа 
ово и в переменную типа риовр. А раз есть отличие на уровне математики. 
то это как-то должно отражаться в формате команды. Так оно и есть. Вот 
полные коды команд присвоения для переменных трех типов: вутЕ, мовь, 
ОИОВРО. 


С605 С8864000 14 МОУ руфзе рег [04086С8],20 
66 С705 С8864000 04А00 МОУ мога рог [04086С8],10 
С705 С4864000 1Е000000 МОУ Чмога рег [04086С4], 30 


Смотрите, все байты мор в/м у всех трех команд одинаковы. Это и понят- 
но: во всех командах первый операнд — это смещение. Интересно, что код 
команды, тип операнда которого — мово, отличается от команды с типом 
риоврЬ наличием префикса 66н. Этот префикс и указывает, что операид име- 
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ет тип иовр, а не риовр. Для команды же, где первый операнд имеет тип 
ВУТЕ, имеется свой код. Итак, совершенно очевидно, как дизассемблер узнает 
о размере переменной, — он просто анализирует программный код. 


Говоря о числовых переменных, мы совсем упустили из виду числа с пла- 
вающей точкой. Уделим внимание и им (листинг 3.9). 





#1пс1а4е <з6а1о.8> 
#1пс1а4е <и1паочз.В> 
Чооб1е з,а; 
106 1; 
уо1А та1п() 
{ 
$=0.00; 
9=1.034; 
ог (1=0; 1<100; 1++) 
$=$+1/а; 
резпЕЕ("%Е\п", $); 
}; 


Как видим, две переменные имеют Тип дозб1е. Вспомним материал 
разд. 1.1.3, точнее ту его часть, где мы говорили о вещественных числах. Так 
вот, формат числа дочь1е, который использован в С++, в точности соответ- 
ствует формату длинного вещественного числа, который поддерживается 
процессором [т(е|. Точнее той его половиной, которая традиционно называ- 
ется арифметическим сопроцессором (см. разд. 1.2.3). 


В листинге 3.10 представлен дизассемблированный текст функции ма1п 
программы из листинга 3.9. 





А 


.Сехе:00401000 пма1п ркос пеаг ; СОБЕ ХВЕЕ: з®аг&+16Е?р 
.Сехе:00401000 уаг_8 = амога рег -8 

‚ Еехс:00401000 

.Сехе:00401000 разв ебр 

„.бехе;:00401001 по еьр, езр 

‚ Сехё:00401003 Е]а 9$:461 408108 

.Еехе:00401009 ЕзЕр 901 40А9р0 


.Сехе:0040100Е Е1а 95:9ю1 408100 
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‚.Сехе: 
. Сехе: 
„.Гехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
„.Сехе: 
.ГехЕ: 
„.Сехе: 
.Сехе: 
. Сехе: 
.ЕехЕ: 
:0040104Е 


.СехЕ 


.Сехе: 
.Сехе: 
.Сехе: 
.ЕехЕ: 
„Техе: 
„.Сехе: 
:00401060 


.СехЕ 


.Сехе: 
. Сехе: 
.Сехе: 
„.Сехе: 
.ЕехЕ: 
.Сехе: 
.Еехе: 


00401015 
00401018 
00401025 
00401027 
00401027 
0040102С 
00401022 
00401034 
00401034 
00401034 
0040103В 
00401032 
00401043 
00401049 


00401055 
00401057 
00401057 
00401057 
00401057 
00401052 


00401063 
00401068 
00401060 
00401070 
00401072 
00401073 
00401073 


10с_ 401027: 


10с_401034: 


1ос 401057: 


_та1п 


Е5ер 


пом 


Эпр 


рор 
геёп 


епар 
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41 404А9С0 
Чмога_40А9С8, 0 
ЗПогЕ 1ос 401034 
; СОБЕ ХВЕЕ: _па1п+55?3 
еах, Ямога 40А9С8 
еах, 1 
Чиога 40А9С8, еах 


; СОБЕ ХВЕЕ: ма1п+25?) 
Ямога_40А9С8, 648 
зВогЕ 1ос_ 401057 
Чмога_40А9С8 
91 40А9С0 
91 404900 
91 404910 
зВогЕ 1ос 401027 


; СОБЕ ХВЕЕ: па1п+38?) 
91 40А9р00 
езр, 8 
[езр+8+уаг_8} 
оЕЕзеё опк_4080ЕС 
_ре1пЕЕ 
оср 


еах 


езр, 
еах, 


еьр 


Прокомментируем текст, который был создан дизассемблером ГРА Р!го. 


С] Пропускаем странную переменную уаг_8. О ней будет сказано далее. 
Пропускаем также пролог функции. Четыре следующие команды весьма 
примечательны. Это есть не что иное, как присвоение переменным з иа 
начальных значений. Для этого компилятор заранее зарезервировал место 
для двух вещественных констант: 951 408108 и 951 408100. С помощью 
последовательности двух команд Е1а И Езёр (команды можно найти в 
табл. 1.19) константа загружается в соответствующую переменную. И кон- 


214 Глава 3 


станты, и переменные (951 40А900 и 951 40А9С0) занимают, естественно, 
по восемь байтов. Следующая команда, обнуляющая целую переменную 
Чиога_40А9С8, вполне очевидна — это просто присвоение начального 
значения параметру цикла. 


П Далее следует переход в тело цикла на метку 1ос_401034. Перед меткой 
идут три команды, назначение которых заключается в увеличении па- 
раметра цикла (1++). Вот почему первый раз мы их пропускаем. Про- 
верка на возможное окончание цикла осуществляется командами спр 
Чиога_40А9С8, 641/) де звогЕ 1ос_401057. Разумеется, 64в — это прос- 
то 100. 


С Затем идут четыре команды, назначение которых угадывается по тексту 
исходной программы. Это просто з=з+1/а. Давайте разберем алгоритм. 
Команда #114 амога_40А9С8 загружает целый параметр цикла в вершину 
стека сопроцессора $т(0). Следующая команда Еа1у осуществляет де- 
ление параметра на переменную аъ1_4049со (это а, разумеется). Далее 
команда Еааа осуществляет сложение результата деления с переменной 
961 40А9р0, где и будет накапливаться сумма. Наконец, поскольку ре- 
зультат сложения находится в стеке сопроцессора, то его командой ЕзЕр 
помешают в переменную 951 40А9р0. При этом происходит выталкива- 
ние стека сопроцессора, т. е. например, содержимое зт(1) переходит в 
т (0). Далее безусловный переход возвращает нас на начало цикла. 


С Затем идет вызов функции ре1пеЕ. И вот самое интересное. Ведь в стек 
следует отправить вещественное число. Весьма поучительный прием. 
Итак, команда +14 а51 40А9р0 посылает вычисленную сумму в стек со- 
процессора. Следующая команда — зоЪ езр, 8 — резервирует место в сте- 
ке для 8-байтовой величины. Команда равносильна двум командам РОЗН. 
А далее команда ЕзЕр [езр+8+уаг_8] помещает сумму из стека сопроцес- 
сора в обычный стек. Наконец, следующая команда — разв — посылает 
в стек форматную строку. 


Разобранный нами случай, когда начальные значения вещественных пере- 
менных хранятся в константах, а затем загружаются в переменную, практи- 
куется компилятором \151а| С++. Компилятор Войапа С++ использует 
другой, менее наглядный прием. Вот что можно увидеть в дизассемблиро- 
ванном коде, созданном компилятором ВоПапа С++: 


.Еехе:0040111В оу Амога рег 951 40С2С4, 958106255 
.Сехе:00401127 оу Чмога рег 91 40С2С4+4, ЗЕРГОЗВА ЗВ 


Как видим, в память загружаются две странные константы. И попробуй 
пойми, что это вещественное число, а потом определи это число. Тут без 
знаний разд. 1.1.3 никак не обойтись. Однако и в У15иа! С++ вы встретитесь 
с такой же проблемой, если будете оперировать переменными типа Е1оа+. 
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Это короткое вещественное число и занимает всего 32 бита. По этой причи- 
не для присвоения переменной такого типа и получения ее значения ис- 
пользуется обычная команда моу. Но, разумеется, для выполнения каких- 
либо действий над ними служат команды арифметического сопроцессора. 
В общем, настоятельно рекомендую разобраться в структуре вещественных 
чисел (см. разд. 1.1.3). 


Итак, увидев команды арифметического сопроцессора, знайте, придется по- 
возиться с вещественными переменными. 


Когда мы имеем дело с целыми переменными, то важным вопросом являет- 
ся их знаковость. Как, например, отличить тип 1пЕ от типа ипз1дпеЯ 11% 
(риовр)? Общий ответ гласит, что следует проанализировать действия, кото- 
рые осуществляются над переменными, и отсюда вывести их тип. Более 
конкретным способом определения типа целых переменных является ана- 
лиз условных конструкций, в которых они участвуют. Например, команда 
условного перехода от, применяется при сравнении чисел со знаком, а ее 
беззнаковым аналогом является команда ов. 


Остается ответить еще на один вопрос. Дает ли какой-то выигрыш исполь- 
зование целых переменных меньшего размера, чем четыре байта? Ответ на 
данный вопрос таков: 


С несомненно, использование переменных меньшего размера экономит 
память; 


О однако в конечном итоге это приводит к усложнению алгоритма в от- 
компилированном коде, т. к. в программе все равно приходится исполь- 
зовать 32-битные переменные. Усложнение же алгоритма в конечном 
итоге ведет к проигрышу в скорости выполнения и увеличению требуе- 
мой памяти. 


Сложные типы данных 
Строки 


Под строковым типом в языках программирования понималась некоторая 
закодированная последовательность символов. Обычно используется АЗСП- 
кодирование. В нем на символ отводится всего один байт. Сейчас все чаще 
применяется кодировка Утсоде, в которой на символ отводятся два байта. 


Строка похожа на массив. Различие между ними заключается в том, что 
структура строки содержит информацию, с помощью которой можно легко 
определить ее длину. Существуют всего два подхода. 


С Конец строки должен быть как-то обозначен. Для этой цели может быть 
использован какой-то конкретный код — один или несколько байтов. 
В языке С традиционно для этой цели применяется код 0 (не путать с 
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символом 0). При использовании кодировки Ошсоде в конце ставятся 
соответственно два нуля (символ с нулевым кодом). Кроме этого, неко- 
торые современные компиляторы, приспосабливая строки для обработки 
двойными словами, могут заканчивать строку целой последовательностью 
из семи нулевых байтов. Учитывая возросшие в последнее время ресурсы 
оперативной памяти, такой подход кажется совсем нерасточительным. 
Данный механизм обладает двумя недостатками: 


® ДЛЯ ТОГО ЧТОбы узнать длину строки, необходимо просмотреть ее всю, 
сколь бы длинной она ни была. Да и все строковые операции должны 
основываться на проверке конца строки, что, конечно, несколько за- 
медляет эти операции; 


» Данный подход не позволяет использовать непосредственно в строке 
нулевые байты. 


С Где-то должна храниться информация о длине (или конце) строки. Есте- 
ственно для этой цели использовать байты в начале строки. Так посту- 
пают в Паскале и, соответственно, в Оер№. Это может быть всего один 
байт, и тогда длина строки может составить не более 255 символов. 
В Рерш, однако, допустимо создавать строки с четырехбайтовым указа- 
телем длины. В этом случае возможная длина строки сравнима с объемом 
адресного пространства, предоставляемого процессу в операционной сис- 
теме \Мтдо\5. 


Кроме двух описанных подходов возможна и смешанная система, когда пе- 
ред строкой хранится ее длина, но одновременно в конце строки содер- 
жится ограничитель. Такой подход хорош для совместимости, но плох как 
всякий подход с избыточной информацией, доставляющей головную боль 
программистам3. 


Замечание 


Программисты, работавшие в М$-0О$, несомненно, помнят и функцию с номе- 
ром 9 21-го прерывания (1пЕ 211), с помощью которой можно было вывести на 
текстовый экран строку символов. В качестве конца строки эта системная про- 
цедура воспринимала знак доллара $. Такой разделитель, разумеется, не удо- 
бен и уже давным-давно не используется. 


Начнем с простого примера (листинг 3.11) использования строки в коди- 
ровке ОЧшсоде. 


3 Как, например, быть, если информация о длине строки не соответствует тому, где 
расположен конец строки? 
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Заале 





#Я1осТтоае <зЕ41о.[> 
исваг_ Е 3[]=."Не]]о, ргодгапмег!"; 
исраг_ © Е[]=."$%$\п"; 
%01А па1п() 
{ 
\ре1тПпЕЕ(Ё, 5); 
}; 


Напоминаю, что исвах_+ задает тип строки в кодировке Чтсоде; т, — мак- 
рос, преобразующий строку в кодировке АЗСП в строку в кодировке Цш- 
со4е; ирхзпЕЕ — функция для вывода строки в кодировке Отсоде на кон- 
соль, аналог ре1пеЕ. Замечу, что строку формата (=) для функции ире1пЕЕ 
также следует представить в кодировке Чтсоде. Вот как дизассемблирует 
ГРА Рго вызов функции ире1пЕЕ: 


.Сехе:00401003 разй ОЕЁзес аНе11оРгодгапме ; "Не11о, ргодгапмег!" 
‚Еехе:00401008 разр оЕЁзеЕ а5 ; "%5\п" 
.СехЕ:00401000 са11 — \мре1пЕЕ 


Не правда ли, здорово! ПРА Рго прекрасно распознал строку в кодировке 
Лисоде. Вот эти строки в секции данных: 

.даса:00409040 аНе11оРгодгатие : ; РАТА ХВЕЕ: а1п+3?о 
.Чака:00409040 и11соЧе 0, <Не11о, ргоагапмег!>, 0 


При желании, нажав клавишу <А>, можно перевести эту строку в последо- 
вательность символов АЗСП и обнаружить, что коды символов, находящие- 
ся в промежутке от 0 до 127, переходят в Утсо4е без изменения путем до- 
полнения байта до слова (добавление старшего нулевого байта). Так что 
преобразование англоязычного текста из кодировки АЗСП в кодировку Чп!- 
сое — дело совсем простое. 


Следующий наш пример касается Берн! (листинг 3.12). 


ро Фрлелеедя ль, 52 ЗА рол а рода родео здеалчль 





уаг 


$1 : м1 аезек1п9; 
$2:зЕк1па; {по умолчанию это Апз156г1па} 


$3: ПогЕзЕЕ1па; 


* Здесь и далее я использую компилятор Ое!рН! из пакета ВоЙап4 Ое!рЫ 7.0. 
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Бед1п 
31:='Не1]1о, мог]1а!!; 
52:='Не11о, ргодгапмег$!'; 
53:='Не11о, Баскегз!!; 
му Ее] т ($1); 
метет (52); 
мг1(е1п ($3); 


епа. 


Итак, в нашей программе использованы три вида строк, которые представ- 
лены в Оерш. Что-то будет, когда мы запустим ТЛА Рго? Что может быть 
интереснее программирования?! Только исследование исполняемого кода. 


Приступим. Программа загружена и автоматический анализ произведен. 
Попытаемся найти наши строки в окне 3#тр5. Интересные дела, в окне 
оказалось только строка "НеПо, \опа!". Впрочем, есть надежда, что осталь- 
ные строки где-то поблизости, и мы их быстро найдем. Так и есть, вот ин- 
тересующий нас фрагмент: 


СООЕ; 0044СС4р а119п 108 

СОБЕ: 0044СС50 аа 188 

СОПЕ:0044СС54 аНе11оМог1а: 

СОБЕ: 0044СС54 ; РАТА ХВЕР: зар 44СВАС+21?о 
СОРЕ: 0044СС54 ип1соае 0, <Не!1о мог1а!>,0 

СОПБЕ: 0044СС6Е а11ап 108 

СОШБЕ: 0044СС70 Ча ОЕЕЕЕЕЕЕЕВ, 128 

СОБЕ: 0044СС78 аНе11оРгодагиие а5 'Не11о, ргодгапмег$!',0 

СОРЕ: 0044СС78 ; ОАТА ХВЕЕ: 526 44СВАС+30?о 
СОВЕ: 0044СС8В а119п 4 

СОРЕ: 0044СС8С аиога_44СС8С @а4 6С65480ЕВ, 68206Р6СН, 656863616, 2173726 
СОРЕ: 0044СС8С ; РАТА ХВЕЕГ: эаЪ 44СВАС+ЗА?о 


Ага! Строку з2 дизассемблер также распознал, а вот почему он не поместил 
ее в окно 52$ — это на его совести. Интересно, что располагается по ад- 
ресу 0044сс8с — ссылка на этот блок из текста программы также имеется. 
Установим курсор на эту строку и нажмем клавишу <А> (можно также об- 
ратиться к пункту меню Ор@опз | Азсй зи зе и в появившемся окне на- 
жать кнопку Ра$са| $6). И, о чудо: 


СОБЕ:0044СС8С аНе11оНаскегз < 14,'Не11о, Васкегз!* 
СОВЕ: 0044СС8С ; ОАТА ХВЕЕ: зар 44СВАС+ЗА?о 


СОВЕ : 0044СС9В аь о 
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Строка, как видим, обнаружена. Почему она не была найдена дизассембле- 
ром сразу? По-видимому, все дело в байте 14, на который была ссылка. Это, 
несомненно, длина. Но дизассемблер, анализируя ссылку, посчитал, что 
если это начало строки, то в тексте не может быть символа с кодом 14. 
В принципе, посчитал-то он правильно, только вот додуматься до того, что 
это длина строки, он не смог. 


Итак, можно делать первые выводы: в случае короткой строки (зпохЕзЕх1па) 
ссылка осуществляется на байт длины. Кстати, обратите внимание, что в 
конце строки стоит код 0; в длину строки, как и должно быть, он не входит. 


Продолжим рассматривать две другие строки. Строка по адресу 0044Сс78 
также имеет 0 на конце. Ссылка, заметим, делается на начало строки, и в 
конце опять код 0. А где же длина строки? Вот тут интересно. Перед стро- 
кой две четырехбайтовых величины. Число 12., несомненно, — длина стро- 
ки. На длину, как мы видим, отводится 4 байта. Но оказывается, в структуру 
строки входят еще 4 байта. Это так называемый счетчик ссылок (геёегепсе 
соипО. Запомним, для строки этого типа ссылка указывает непосредственно 
на содержимое строки. Перед самой же текстовой информацией имеется 
еще 8 байтов дополнительной информации. 


Последний тип строки — это строка в кодировке Отсоде. Она начинается 
по адресу 0044сс54. В отличие от предыдущего случая, в структуру строки 
входит четырехбайтовая длина, но нет счетчика ссылок. И опять ссылка из 
текста программы указывает именно на содержимое строки, очевидно, по 
этой причине дизассемблер и обнаружил данную строку. В конце строки 
стоят два нулевых байта. 


Завершая рассмотрение строк, разберем следующую простую программу 
(листинг 3.13). Откомпилируем эту программу с помошью \У15иа| С++. 





#1рс1оае <5Е91о.6> 
Н1пс]0ае <зЕг1па.0> 
сраг $[]="бооа-Буе!"; 
у0о1А па1п() 
{ 

5егсаЕ (3," Му 1оуе!"); 


ре1пЕЕ ("$5\п", 5$}; 


В листинге 3.14 мы видим дизассемблированный текст программы из лис- 
тинга 3.13. 


:00401000 
:00401000 
:00401001 
:00401003 
:00401008 
:00401005 
:00401012 
:00401015 
:0040101А 
:0040101Е 
:00401024 
:00401027 
:00401029 
:0040102А 
:0040102А 


_та1п 


_па1п 


ргос пеаг ; СОБЕ ХВЕЕ: 
разв ебр 

пом ебр, езр 

разр ОЕЕзеЕ аМуГоуе 
ра$В ОЕЁЕзеЕ абооаВуе 
са11 _зЕгсаё 

ааа езр, 8 

разв ОЕЕзеф абооаВуе 
разв ОЕЕзеЕ аз 

са11 _ре1пЕЕ 

ааа езр, 8 

хог еах, еах 

рор ебр 

геп 

епар 


. 
: 


. 
: 


. 
: 





$агЕ+16Е?р 


сраг * 


саг * 


"Сооа-руе!" 


"з\п" 


Листинг 3.14 достаточно прост, чтобы его комментировать подробно. Заметим 
только, что, как видно из него, обе строки хорошо распознаются ГРА Р!го. 


А теперь в программе из листинга 3.13 сделаем маленькую корректировку. 
Сделаем переменную з локальной (перенесем определение в функцию 
па1п). После компиляции и дизассемблирования получим следующий, весь- 


ма необычный текст (листинг 3.15). 


аа. 





:00401000 
:00401000 
:00401000 
:00401000 
:00401000 
:00401000 
:00401001 
:00401003 
:00401006 
:00401008 
:0040100Е 
:00401014 


_па1п ргос пеаг 


уаг С 
уаг 8 


уаг_4 


разв 
поУ 
зчБ 
пох 
оу 
пох 


ПОМ 


п 


ебр 
ерр, 


езр, 


езр 
оСВ 


мог рег -4 


еах, а5:амога_4060ЕС 


Чиога рег [ебр+уаг_С], еах 


есх, Яа5:@мога 406100 


[ебр+уаг 8], есх 


; СОБЕ ХВЕЕ: 3$аге+16Е?р 
руЕе рЕг -О9СВ 
Чмога рег -8 
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.Сех®:00401017 пох ах, 95:мога 406104 
.Бехе:0040101Е пох [ебр+уаг_4], ах 
.Сехе:00401022 разр ОЕЁЕзеЕ аМугоуе ; саг * 
. Сехе:00401027 1еа еах, [ебр+уаг_С] 
.СехЕ:0040102А разв еах ; сраг * 
.СехЕ:0040102В са11 —_зсгсае 

.бехе:00401030 ааа езр, 8 

.Сехе:00401033 1еа есх, [ебр+уаг С] 
.СехЕё:00401036 разв есх 

.Сехе:00401037 разв ОЕЕзее аз ; "%5\п" 
.Бехё:0040103С са11 _ре1пЕЁЕ 

.БехЕ:00401041 ааа езр, 8 

.СехЕ:00401044 хог еах, еах 

.Еехе:00401046 пом езр, ебр 

.Сехе:00401048 рор ебр 

.Сехе:00401049 тет 

.Сехе:00401049 па епар 


Смотрим на листинг 3.15. Действительно код необычный. Дизассемблер 
определил только одну строку (константу). Однако первый параметр функ- 
ЦИИ зегсаЕ — это ведь и есть адрес не найденной дизассемблером стро- 
ки. Тут ничего не попишешь, функция библиотечная и нам хорошо извест- 
на. А вот команды с адреса 00401006 По адрес 0040101Е что значат? Очевид- 
но, что они передают в стековую область (наша строка и должна храниться 
в стеке) десять байтов. Но это как раз длина нашей строки с учетом нуле- 
вого байта. Ага, это компилятор так хитро передает строку из секции дан- 
ных в область стека! Обратимся к памяти по адресу 004060Ес, откуда начи- 
нается блок, передаваемый в стек. Вот этот блок: 


.гаса:004060ЕС — @мога 4060ЕС аа 646Е6Е47В ; РАТА ХВЕЕ: па1п+6?г 
.гЧафа:;00406100 — @мога 406100 аа 657962201 —; РАТА ХВЕЕ: мазп+Е?г 
.гафа:00406104 —мога 406104 — ам 211 ; РАТА ХВЕЕ: _ма1п+17?г 


Нажмем клавишу <А> и преобразуем блок в строку в А$СП-формате, и по- 
терянная строка нашлась. Каков же вывод? Дизассемблер не смог опреде- 
лить одну из строк по той причине, что компилятор обращался со строкой 
просто как с блоком данных. 


Массивы 


Как мы видели из предыдущего раздела, что хотя строки и имеют структуру, 
позволяющую определить размер данных, даже такой мощный дизассемб- 
лер, как ТРА Рго, не всегда способен распознать строку. Что уж тогда гово- 
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рить о массивах? Ведь размер массива в структуре никак не прописывается. 
Разумеется, с размером массивов есть проблемы, однако сам массив иден- 
тифицируется достаточно четко. Рассмотрим пример. В листинге 3.16 це- 
лочисленный массив заполняется целыми числами от 0 до 9. После транс- 
ляции в \!15иа! ЗЧ ю и загрузки исполняемого кода в ПДА Рго имеем 
листинг 3.17. 





#1пс1о4е <зЕЧло.В> 
10 а[10]; 
%01А ма1лт () 


{ 


Бог (10 1=0;1<10; 1++)а[1]=1; 





.Сехе:00401000 па1п ргос пеаг ; СОБЕ ХВЕЕ: 36агЕ+16Е?р 
.Сехе:00401000 уаг 4 = @Чмога рег -4 

‚ СехЕ: 00401000 разв еБр 

.СехЕ:00401001 пох ефр, езр 

.Еехё:00401003 разй есх 

.Еехе:00401004 пох [ебр+уаг_4], 0 

.СехЕ:00401008В пр зпоге 1ос_401016 

.Сехе:0040100р 1ос_401000: ; СОБЕ ХВЕР: _ма11+29?)3 
.Еехе:00401000 пом еах, [ебр+уаг_4) 

.СехЕ:00401010 ааа еах, 1 

‚ Сехе:00401013 оу [ебр+уаг_4], еах 

. Сехе:00401016 1ос_ 401016: ; СОРЕ ХВЕЕ: _ма1п+В?) 
‚ Сехе:00401016 стр [ебр+уаг_4], ОАБ 

‚ Сехе:0040101А че ЗВоге 1ос_40102В 

.Сехе:0040101С Ох есх, [ебр+уаг 4] 

.Еехе:0040101Е пом еах, [ебр+уаг 4] 

.Сехё:00401022 пох Чмога_4072С0[есх*4], еах 
.СехЕ:00401029 Эр зпоге 1ос 40100р 

.Сехе:0040102В 1ос 401028: ; СОРЕ ХВЕЕ: _па11п+1А?) 
.Сехе:0040102В хоЕ еах, еах 


.Сехе:00401020 поУ езр, еБр 
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‚Еехё:0040102Е рор ебр 
.Сехе:00401030 геёп 
.Сехе:00401030 ма1п епар 


Комментарий к листингу 3.17 


0 Со способом организации цикла мы уже сталкивались в листинге 3.10. 
уаг_4, Как вы, несомненно, поняли, есть не что иное, как стековая пере- 
менная — параметр цикла. Обратите внимание на команду пох 
Чмога_4072С0[есх*4],еах — ВОТ ЭТО главное. Нет никакого сомнения, 
что перед нами массив. дмога_4072с0 — начало массива, есх содержит 
текущее значение индекса, а масштабный коэффициент 4 говорит о том, 
что размер элементов массива составляет 4 байта. Конечно, в данной 
программе размер массива очевиден. Но полагаться, что количество эле- 
ментов массива всегда определяется количеством итераций в цикле, ко- 
торый обрабатывает массив, не стоит. В одном месте программы про- 
граммист может использовать часть массива, в другом месте — другую 
часть. Причем эти куски не обязаны иметь то же начало, что и сам мас- 
сив. С большей вероятностью можно говорить о том, что размер массива 
не меньше заданной величины. 


О Некоторые сложности могут возникнуть при использовании массива в 
функциях. В функцию ведь передается просто указатель. При этом дан- 
ный указатель может передаваться и дальше по цепочке функций. И вот 
в последней функции мы видим, что некий параметр используется как 
указатель на массив. Для того чтобы теперь найти, где располагается этот 
массив, придется пройти по цепочке функций в обратную сторону, что, 
конечно, потребует времени и усидчивости. Впрочем, в таких случаях 
лучше воспользоваться отладчиком, поставить точку останова на функ- 
цию, где указатель ведет себя как указатель на массив, и получить его 
(указателя) значение. Далее следует снова обратиться к дизассемблеру, 
найти этот массив по выданному в отладчике адресу и определить ссылки 
на него из кода программы. После этого можно продолжить анализ ис- 
полняемого кода. 


Структуры 

Структура — это обобщение понятия "массив". Если массив состоит из од- 
нородных элементов, то структура может состоять из элементов различных 
типов. Как и в случае с массивом доступ к элементам структуры осуществ- 
ляется на основе базового адреса, который определяет начало экземпляра 
структуры. Но здесь проблема гораздо серьезнее. Понять, что разнородные 
куски данных в действительности принадлежат одной структуре, бывает 
очень непросто. Рассмотрим программу, представленную в листинге 3.18. 
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#1пс1щае <56азо.Н> 


#1пс1аае <м1паом$.Н> 


$Ехосе а ({ 
сПаг $[10]; 
ВУТЕ Ъ; 
116 1; 

}; 

а а1; 


$701 ма1зп() 

{ 
Рог (116 )=0; 7<10; 7++) а1.5[)]='А'; 
а1.5=10; 
а1.1=10000; 

}; 


Откомпилируем программу и перейдем к дизассемблированному ТРА Р!го 
тексту (листинг 3.19). 





.Сехе:00401000 мазп ргос пеаг ; СОРЕ ХВЕЕ: з6аг®+16Е?р 
.Сехе:00401000 уаг_ 4 = О@мога рег -4 


.Сехё: 00401000 разр езр 

.Бехе:00401001 по ебр, езр 

.Сехе:00401003 разв есх 

. Сехе:00401004 ОУ [ебр+уаг_4], 0 

. Сехе:00401008В Эр зПоге 1о0с_ 401016 
.Сехе:0040100р 1ос 4010010: ; СОРЕ ХВЕЕР: ма1п+26?) 
.Сехе:0040100р оу еах, [ебр+уаг_4] 
.Сехе:00401010 ааа еах, 1 

.Сехе: 00401013 пох [ебр+уаг_ 4], еах 
.Бехе:00401016 10с_ 401016: ; СОРЕ ХВЕЕ: _ма1п+В?) 
.Сехе:00401016 спр [ебр+уаг_4], ОА 
.Сехе:0040101А че зВоге 1ос 401028 
.ЕехЕ:0040101С ОУ есх, [ебр+уаг 4] 
.Сехе:0040101Е поу Буфе_4072С0[есх], 418 


. Сехе:00401026 Эр эПогЕ 1ос_401000 


Основные парадигмы анализа исполняемого кода 225 


.сехЕ:00401028 1ос_ 401028: ; СОБЕ ХВЕЕ: _та1п+1А?) 
.Сехе:00401028 поу руЕе_4072СА, ОАВ 
.Еехё:0040102Е пох Чмога_4072СС, 27108 
.бехё:00401039 хог еах, еах 

.бехе:0040103В по езр, ебр 

.Сехе:0040103, рор езр 

.Сехе:0040103Е тееп 


.Сехе:0040103Е _ма1п епар 


Посмотрите внимательно на текст из листинга 3.19. В тексте мы видим три 
различных типа данных, которые определяются указателями ьуке_4072С0 
(массив), Бусе_4072СА (байт), диога_4072сс (двойное слово). Ниоткуда не 
следует, что все эти переменные должны быть объединены в одну структуру. 
Впрочем, в данном контексте это совершенно неважно. Отсюда следует, что 
в программе должны быть такие действия, которые выдавали бы структуру, 
как единое целое. 


Рассмотрим программу из листинга 3.20. Как видно, параметром процедуры 
3116 является как раз структура (структура а). Посмотрим, как эта ситуация 
отразится в исполняемом коде программы (листинг 3.21). Конечно, про- 
грамма весьма надуманна. Ведь переданная в функцию структура никак не 
используется, да и обратно не передается. 





Нос аае <эЕа1о.Н> 


#1пс1аае <и1п9омз.В> 
ЗЕгисЕ а { 
спаг $[10]; 
ВУТЕ Ь; 
106 1; 
}; 
а а1; 
%01А 111% (а); 
У01А щазп()} 
{ 
11016 (а1); 
}; 
\014 111% (а с) 
{ 
Бог (1106 7=0; 7<10; 5++) с.$[)]='А'!; 
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с.6=10; 
С.1=10000; 
}; 


В листинге 3.21 представлена главная функция пап программы. Процедура 
зир_ 401040, вызов которой осуществляется по адресу 0040102в, и является 
нашей функцией 1п1‹. А вот строки перед процедурой довольно интересны. 
Обратите внимание на команду зоб езр,10ъ. Она эквивалентна четырем 
командам розн. Но посмотрите, размер нашей структуры как раз составляет 
16 байтов. После команды выделения области в стеке идет команда поуе 
еах,езр. Таким образом, регистр ЕАХ указывает на начало области стека. Ну, 
а далее эта область стека заполняется данными. Впечатление такое, что мы 
имеем дело просто с четырьмя двойными словами. Да и ГЛА Рго так счита- 
ет. Конечно, то, что сразу выделяется 16 байтов (правда длина структуры 
15 байтов, но с учетом того, что поле 1: выравнивается по 4-байтной грани- 
це, получается 16), несколько настораживает, но абсолютно ничего не дока- 
зывает. Чтобы понять, что все-таки отправлено в функцию, необходимо 
анализировать код этой функции (листинг 3.22). 





.Сехе:00401000 —ма1п ргос пеаг ; СОБЕ ХВЕЕ: 5з$агё+16Е?р 
. Сехё:00401000 ра$В езр 
.Сехе:00401001 По ебр, езр 

. Сехе:00401003 за езр, 101 

. Сехе:00401006 поУу еах, езр 
.бехе:00401008 пох есх, Чмога 4072С0 
.Сехе:0040100Е пох [еах], есх 
.бехе:00401010 ФА еЯх, @мога 4072С4 
.Сехе:00401016 по [еах+4], еах 
.бехе;: 00401019 пох есх, Чмога_ 4072С8 
.Еехе:0040101Е пох [еах+8], есх 
.бехе:00401022 по еах, Чмога_4072СС 
.Сехе:00401028 пох [еах+0СЬ], еах 
.Сехе:0040102В са11 зир 401040 
.Сехе:00401030 ааа езр, 101 
.Сехе:00401033 хог еах, еах 

. бехе:00401035 рор ебр 

.Сехе: 00401036 геёп 


. Еехё:00401036 _ма1п епар 


Основные парадигмы анализа исполняемого кода 227 





. Сехе:00401040 зар 401040 ргос пеаг ; СОБЕ ХВЕЕР: _ма1п+2В?р 
. Сехе:00401040 уаг_4 
. Сехе:00401040 ага_0 
.Сехе:00401040 ага_А 
.сехе:00401040 ага _С 


Чмога рег -4 
БуЕе рег 8 
БуЕе рЕёг 128 
Чмога рег 148 


.Сехё:00401040 разв еьр 

„.Сехе:00401041 пох еьр, езр 

‚Сехе:00401043 разв есх 

.Сехё:00401044 по [ебр+уаг_4], 0 

.Сехе:0040104В Эр зроге 1ос_ 401056 

.Сехф:0040104р 1ос_ 4010410: ; СОБЕ ХВЕЕР: заЪ 401040+24?)3 
‚Сехе:00401040 пох еах, [ебр+уаг 4] 

.Сехе:00401050 ааа еах, 1 

.Еехе:00401053 ОУ [ебр+уаг_4], еах 

.бехе:00401056 1ос_ 401056: ; СОБЕ ХВЕЕ: зар _401040+В?3 
„.Бехё: 00401056 стр [ебр+уаг_4], ОАБ 

.Сехе:0040105А )че эрогЕ 1ос_ 401066 

.сехе:0040105С поу есх, [ебр+уаг_4] 

.Сехс:0040105Е пох [ебр+есх+ага_0], 418 

.сехе:00401064 Эр зПогеЕ 1ос 401040 

‚Сехе:00401066 1ос 401066: ; СОРЕ ХВЕЕ: заЪ 401040+1А?) 
.Сехе:00401066 поУ [ебр+ага_А], ОА 

.Сехе:0040106А пох [ебр+ага_С], 27108 

‚Сехе:00401071 поУ езр, ебр 

‚ Сехе:00401073 рор еьр 

.Сехё:00401074 геп 


.Сехе:00401074 зар 401040 епар 


Итак, рассмотрим код функции 111+ (см. листинг 3.22). В принципе, текст 
нам уже вполне знаком. Это почти в точности код из листинга 3.19, кото- 
рый мы уже разбирали. Но вот здесь с учетом нашего анализа функции ма: п 
мы уже можем кое-что понять. В функцию было отправлено 16 байтов 
(четыре раза по четыре байта), а в самой функции вначале обрабатывается 
массив из 10 байтов, затем ага_0, затем однобайтовая величина агч_А, а да- 
лее четырехбайтовая величина ага_Сс. И вот здесь уже вполне естественно 
предположить, что перед нами все-таки структура. Из чего это следует? Да 
из того, например, что в стек были отправлены три независимых (на первый 
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взгляд) двойных слова, а в процедуре первые 10 байтов оказываются связан- 
ными в один массив. 


Итак, можно сделать вполне законный вывод: структуры проявляют себя 
при передаче их в качестве параметров. Однако, согласитесь, что наши рас- 
суждения все же слишком эвристичны, чтобы поручать их дизассемблеру. 
Интересно, что компилятор Войапа С+-+ действует в подобных случаях 
приблизительно так же, как У15иа! С++. Вот дизассемблерный фрагмент той 
же самой программы (см. листинг 3.21), который осуществляет вызов функ- 
ЦИИ 1 пе. 


.Сехе:00401108 пох а1, руке 40С2С6 
.Сехе:0040110Е $51 еах, 101 
.Сехе: 00401111 пох ах, мога_40С2С4 


. бехе:00401118 разй еах 
.Сехе:00401119 разв Чиога_ 40С2С0 
.Сех®:0040111Е разв Чмога_40С2ВС 
‚ Сехе:00401125 разв Чмога_40С28В8 
. Сехе:0040112В са11. за 401134 


Фрагмент примечателен странной переменной моха_40с2С4. Откуда вообще 
переменная типа мовро могла взяться? Ее нет в программе. Впрочем, общий 
объем передаваемых через стек данных опять составляет 16 байтов. Точнее, 
все же 15 байтов — ВоПапа несколько аккуратнее? Вряд ли. 


Однако существуют ситуации, когда дизассемблер (и мы вместе с ним) мо- 
жем однозначно определить, что перед нами структура. Речь идет о ситуа- 
циях, когда структура используется в качестве параметров (опять парамет- 
ров) при вызове известных библиотечных или АР!-функций. Следующий 
фрагмент (листинг 3.23) демонстрирует вызов АР1-функции вед1зкехС1аз$. 
Я специально оставляю предшествующие вызову строки, где заполняется 
структура Ипас1азз, которую дизассемблер прекрасно распознает. Да и как 
не распознать, если адрес этой структуры является параметром известной 
АР1!-функции. 





.бехе:0040104р ох [ебр+МпЯ9С1аз5.$36у1е], 0 

.бехе:00401054 По [еБр+МпаС1аз5.1рЕпИпарРкос], оЕЁзее зар 401140 
.Сехе:0040105В пох [ебр+МпаяС1а$$.сюС15Ехега], 0 

.Сехе:00401062 пох [е5р+МпаС1аз5.сЬМпаЕхега], 0 

. Сехе:00401069 пох еах, [ебр+ЬТпзкапсе] 

.Сехе:0040106С пох [ебр+Мп9С1аз$.БТп5$Капсе], еах 

. Сехе: 00401062 разв 77008 ; 1рЕсопМаме 
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.Сехе:00401074 пох еах, [ебр+ПТп$капсе] 
.СехЕё:00401077 раз еах ; БГрзбапсе 

. Сехе:00401078 Са11 9@$:ГоаТсопА 

.Сехе:0040107Е По [еър+МпаС1аз$.ВТсоп], еах 
.Сехе:00401081 разр 77008 ; ТрСагзогхМате 
.Сехе:00401086 разр 0 ; БТозбарсе 
.Сехе:00401088 са1]1 @а5:ЬоаЧ9СатзогА 

.Сехе:0040108Е оу [е5р+ИпаС1азз.ВСигзог], еах 
.Сехе:00401091 оу [е5р+\МпаС1а$$.ПЬгВаскКагоцпа], 6 
.сехе: 00401098 ПО [ебр+ИпаС1а$5.1рз;МепоМаме], 0 
.Сехе:0040109Е Теа есх, [ебр+С1аззМаме] 
.бехе:004010А2 ПОХ [еЪр+ИМпаС1а$$.1рз2С1аз$Маще], есх 
.Кехе:004010А5 ]1еа еах, [ебр+ИпаС1а$5] 
.сехе:004010А8 разв еах ; 1рИпаС1аз5 
.Сехе:004010А9 Са11 95:Вед15%ехС1аззА 


В листинге 3.23 адрес структуры ипас1азз отсчитывается относительно со- 
держимого регистра ЕВР, это значит, что структура определена как стековая 
локальная переменная (см. разд. 3.1.2), но суть наших рассуждений не изме- 
нится, если сделать ее глобальной переменной, структура распознается по ее 
использованию в качестве параметра. 


3.1.2. Локальные переменные 


Обычно под локальной переменной понимают переменную, определенную 
непосредственно в процедуре или функции. Как известно, для этой цели 
используется стек. Но это частный случай. Под локальной переменной 
подразумевают более широкое понятие. Это не только Переменные, опреде- 
ленные в стеке (их бы можно назвать стековыми), но и просто временные 
переменные (локальные во времени, по отношению ко времени выполнения 
программы), а также переменные, хранящиеся в регистрах. Наконец, пара- 
метры, передаваемые через стек, также можно рассматривать как локальные 
переменные. 


Переменные, определенные в стеке 


С переменными, определенными в стеке, мы уже неоднократно встречались. 
Я не строю свою книгу, как аксиоматическую теорию, поэтому многие по- 
нятия многократно появляются в книге, прежде чем о них будет рассказано 
систематично?. Считаю это нормальной и даже нужной практикой в препо- 


> В программировании это называется "ссылка вперед". 
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давании и в учебных книгах. Это интригует, заставляет работать мозг и 
ждать, когда же автор (или лектор) соизволит, наконец, изложить данный 
вопрос. 


В листинге 3.24 действуют только локальные переменные и две функции: 
па1п И ааа. Обратите внимание, что в функцию ааа передаются три пара- 
метра, причем первый параметр является указателем. Это не случайно, т. к. 
переменная з в функции ааа модифицируется. 





#]пс1аае <5Еазо.1В> 


106 ааа (116 *, 11, 1106); 


уо1А ша1п() 
{ 

116 1=10,5$,); 

$=12; 9)=20; 

ре1пЕЕ ("%А\п", ааа (&5,1,3)); 
}; 
106 ааа(1пе * $1, 106 11, 106 91) 
{ 

106 п; 

*51=*51+10; 

п=*$1+7)1+11; 

тебахгп п*п; 


}; 


В листинге 3.25 представлен дизассемблированный текст функции па1п Из 
листинга 3.24. Подчеркну, что мы установили опцию "запретить оптимиза- 





.Еехе:00401000 _ма1п ргос пеаг ; СОБЕ ХВЕЕ: з&ахкЕ+16Е?р 


И 


.Еехе:00401000 уаг С 
.Сехе:00401000 уаг_8 
.Сехе:00401000 уаг 4 = @мога рёг -4 


Чмога рёг -0Св 
Чмога рёг -8 


.бехе:00401000 разВ еьр 
.бехе: 00401001 По еьр, езр 
. Сехе:00401003 заБ езр, 0СВ 


.Сехе:00401006 мох [ебр+уаг_4], ОАП 
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.бехё:00401000 по [ебр+уаг_8], ОСП 
‚ Еехе:00401014 ие [ерр+уаг_С], 148 
.бехЕ:0040101В по еах, [ебр+уаг_С] 
.ЕехЕ:0040101Е разв еах 
.Бехё:0040101Е пох есх, [ебр+уаг_4] 
.Еехе:00401022 разр есх 
.Еехе:00401023 1еа еах, [ебр+уаг 8} 
.Сехё:00401026 разв еах 
.Сехё:00401027 са11 зию 401050 
.Еехе;:0040102С ааа езр, ОСП 
.Еехе:0040102Е разв еах 
.Сехё:00401030 разр ОЕЁзее ипк 4060ЕС 
‚ ехё:00401035 са11 _ре1пЕЕ 
.Еехе:0040103А ааа езр, 8 
.Еехе:0040103) хогЕ еах, еах 
.бехе:0040103Е пох езр, ебр 

‚ Сехе:00401041 рор еьр 
„.Сехе:00401042 гееп 

‚ Сехе:00401042 па1п епар 
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С Пропуская стандартный пролог функции, обращаем внимание на коман- 


ДУ з4Ь езр,0осн. Двенадцать байтов резервируется для локальных пере- 
менных — область между старым значением указателя стека (куда указы- 
вает регистр ЕВР) и новым значением. Это как раз три переменные (см. 
листинг 3.24). Впрочем, ТРА Рго объявляет эти переменные как уаг_4, 
уаг_8, уаг_С. Что означают суффиксы _4, _8, _С? Это адреса, где распо- 
лагаются переменные по отношению к границе, откуда начинается об- 
ласть стековых переменных. Адрес этой границы или начала области сте- 
ковых переменных хранится в регистре ЕВР. 


Далее идут команды инициализации переменных. Обратите внимание, 
что нет разницы между переменной, которая инициализирована при объ- 
явлении, и переменными, которым просто присвоены значения в тексте 
программы. 


Адреса с 0040101в ПО 00401026 заняты командами, которые отправляют 
параметры в стек для вызова функции ада. Обратим внимание на пере- 
менную уаг_8. Она, несомненно, обозначает переменную $ в тексте 
программы. Для нее выполняются команды 1еа еах, [еюр+уах_8]/разь 
еах, Т.е. в стек отправляется адрес этой переменной. Конечно, ведь в 
программе и указано, что передается указатель. Однако я хочу предосте- 
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речь вас от скороспелых выводов. Компиляторы очень часто обходятся с 
указателями довольно бесцеремонно. Дело в том, что тот факт, что у пе- 
ременной з в функцию передается именно указатель, используется в 
программе для модификации переменной з. Если бы этого не было (не 
было модификации з в функции ада), компилятор вполне мог передать в 
функцию саму переменную — хлопот меньше, а результат тот же. Итак, 
две другие переменные — 1 (уаг_4) И 3 (уаг_С) — передаются в стек как 
значения. 

С Результат вызова функции, а он, как и следовало ожидать, хранится в 
регистре ЕАХ (см. разд. 3.2.1), передается в функцию в качестве параметра 
для вывода на консольный экран. 


Теперь пришла пора разобрать код функции ааа. Он представлен в лис- 
тинге 3.26. 





ы 


.Сехе:00401050 зар 401050 ргос пеаг ; СОБЕ ХВЕЕ: пма1п+27?р 
.Сехе:00401050 уаг 4 = Омога рег -4 

.бехе:00401050 ага О = амога рег 8 

. бехе:00401050 ага_4 = О@мога рег 0СП 

. Бехе:00401050 ага 8 = @мога рег 108 


. Сехе:00401050 разв еьр 
.СехЕ:00401051 пох еьр, езр 
.Сехе:00401053 разв есх 
.Сехе:00401054 По еах, [ебр+ага_0] 
.Сехе: 00401057 пох есх, [еах] 
.Сехе: 00401059 ааа есх, ОАБ 
.Сехе:0040105С пох еах, [ебр+агда_0] 
.Бехе:0040105Е оу [еах], есх 
.Бехе:00401061 пох еах, [ебр+ага_0] 
.бехе:00401064 ПОХ есх, [еах] 
.бехе:00401066 ааа есх, [ебр+ага_8] 
.Сехе:00401069 ааа есх, [ебр+ага_4] 
. Сехе:0040106С оу [ебр+уаг_ 4], есх 
.Сехе:0040106Е оу еах, [ефр+уаг_4] 
.сехе: 00401072 01 еах, [ебр+уаг 4] 
.бехе:00401076 По езр, еБр 
.Сехё:00401078 рор езр 
.Сехе:00401079 хеёп 


.Сехё:00401079 заЪ 401050 епар 
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Комментарий к листингу 3.26 


С ТДА Р!го для параметров функции дает имена, начинающиеся с префик- 
са ага. Итак, как и должно, функция получила три параметра: ага_0, 
ага_4, ага_8. Смещения 0, 4, 8, как и в случае стековых переменных, 
отсчитываются от содержимого регистра ЕВР, но вниз, в область стар- 
ших адресов. 


С Обратите внимание, что здесь на первый взгляд не резервируется область 
в стеке для переменной уах_4 (в программе имя переменной — п). Это 
интересный момент. А почему же в функции та1п компилятор резерви- 
рует область в стеке под переменные? А дело здесь в том, что для резер- 
вирования области стека используется команда разп есх. Это легко по- 
нять, подсчитав баланс стека в начале и конце процедуры — количество 
байтов, положенных в стек в начале и извлеченных из стека в конце. Да, 
часто, когда стековая переменная одна, для резервирования стека ис- 
пользуется именно команда РОЗН. 


С) Интересно отыскать среди параметров функции тот, который представ- 
ляет собой указатель на переменную. Здесь все просто. Его положили по- 
следним, а поскольку стек растет в сторону меньших адресов, то он будет 
иметь меньшее смещение в сторону старших адресов. Другими словами, 
ЭТО ага_0. Так оно и есть. Вот последовательность команд, которая выда- 
ет его с головой: 


оу еах, [ебр+ага_0] 
пох есх, [еах} 
ада есх, ОАБ 


это просто *51=*51+10. 


С Дальнейшие выкладки достаточно очевидны и выражают просто действие 
п=*51+)1+11. Инструкция же 1то1 — это действие п*п. 


Нелишне опять напомнить об оптимизации. Она, особенно это касается 
\У15иа! С++, может изменить исходный текст программы до неузнаваемости. 
Попробуем откомпилировать исходный текст программы (листинг 3.24) с 
опцией "создавать компактный код". Предварительно в функцию ааа следу- 
ет вставить какой-нибудь оператор вывода, например, резпеЕ("%а\п", п), 
иначе оптимизатор вообще обойдется без вызова функции и заменит ее вы- 
численной им самим константой (вот так!!6). А вот что получится с функ- 
цией па1п После того, как по ней пройдется оптимизатор (листинг 3.27). 


6 При оптимизации "максимальная скорость” и это не спасает! 
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.Сех<:00401029 па1п ргос пеаг ; СОБЕ ХВЕЕ: $$аг&+16Е?р 
.сех<:00401029 уах_ 4 = @мога рег -4 
.Сех{:00401029 разв ебр 
.Сех{:0040102А пох ебр, езр 

‚ Сех{:0040102С ра$зй есх 
.Сехе:00401020 разв 14в 
.Сехх:0040102Е Теа еах, [ебр+уаг_4] 
.Сех{:00401032 разв ОАВ 
„.Сехе:00401034 разв еах 
.Бехх:00401035 ТПО“ [ебр+уаг_ 4], ОСП 
. Сехе:0040103С са11 зи 401000 

‚ СехЕ;: 00401041 разв еах 
.Сехе:00401042 ризп оЕЁзеф чпк 4060ЕС 
„.Сехе:00401047 са11 _ре1пеЕ 
.Сехе:0040104С ааа езр, 148 
.Еехе:0040104Е хох еах, еах 
.Сех{:00401051 1еауе 

.Сехе:00401052 хеп 


.Сехе:00401052 па1п епар 


Комментарий к листингу 3.27 


С Листинг весьма интересен и поучителен. Главное, на что следовало бы 
обратить внимание при анализе, — это то, что определена только одна 
стековая переменная. Какая эта переменная, надо бы догадаться, даже не 
глядя на текст листинга. Разумеется, это з. Именно ее содержимое будет 
модифицировано в функции ааа. Другими словами, з — это действи- 
тельно переменная. Переменные же: и ) — по сути, константы, т. к. в 
процессе работы программы не модифицируются. Так оптимизатор с ни- 
ми и поступает. Вместо того чтобы выделять в стеке для них память, 
можно просто отправить в качестве параметров функции ада числовые 
константы (команды разн 141 И ризВ оАв). Что касается переменной з, то 
в стек отправляется ее адрес: 


1еа еах, [ебр+уаг_4) 


разН еах 


С Еще один интереснейший момент: память для стековой переменной от- 
водится с помощью команды ризВ есх, что, конечно, может сбить с тол- 
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ку. Но перед оптимизатором поставлена задача сократить размер кода, и 
он старается изо всех сил. Этим же объясняется, что восстановление сте- 
ка в конце процедуры осуществляется всего одной командой 1еауе. 


Итак, следующий вывод по стековым переменным: если в процессе выпол- 
нения программы содержимое стековой переменной не меняется, то опти- 
мизатор может заменить ее константой. Конечно, для простого анализа то- 
го, что делает программа, данная информация, в принципе, не имеет 
большого значения. Но, мне кажется, для более глубокого понимания логи- 
ки работы программы это важно. 


Еще одну весьма полезную информацию можно почерпнуть, если откомпи- 
лировать пример из листинга 3.24 с помощью компилятора ВоЙапа С++ 5.0. 
Результат дизассемблирования функции па1п представлен в листинге 3.28. 





.Сехс: 
. Сехс: 
.Техе: 
.Сехс: 
.Сехс: 
‚.Сехе: 
.Сехе: 
:0040110А 
.Сехе: 
.сехе: 
.Сехс: 
. Вехе: 
:00401110 


.Техе 


‚Сехе 


.Сехс: 
00401122 
:00401123 


.Сехе 
.сехе 


.Сехс: 
.Сехс: 
.Сехе: 
. сехс: 
„Сехе: 
‚.Сехе: 
.Сехе: 


00401108 ма1п 


00401108 
00401108 
00401108 
00401108 
00401108 
00401109 


00401108 
00401110 
00401117 
0040111С 


0040111Е 


00401128 
00401128 
0040112С 
00401131 
00401136 
00401139 
0040113А 


уаг 4 
агдс 
агау 
епур 
разв 
ра$зй 
ра$й 
пох 
оу 
оу 
разв 
разв 
1еа 
разв 
са11 
ааа 
разв 
разв 
са11 
ааа 
рор 
рор 


рхос пеаг 


РАТА ХВЕЕ: „Чафа:0040А0В8?о 


Ямога рег -4 


Ямога рег 
Чмога рег 
Амога рег 
еьх 
е51 
есх 
ебх, ОАБ 


оСВ 
108 
14В 


[езр+4+уаг_ 4], ОСП 


е51, 141 
е51 
ебх 
еах, 


еах 


за 401140 


езр, ОСП 


еах 


ОЕЁЕзее Гогта® 


_ретпЕЕ 
езр, 8 
еах 

е51 


[езр+0СП+уах_4] 


; Еогла® 
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.Сехе:0040113В рор ебх 
. Сехе:0040113С гхеёп 
‚ Сехе:0040113С па1п епар 


Комментарий к листингу 3.28 


О Разные компиляторы — разные стили. Посмотрите, если компилятор М!- 
сгозой даже при объявлении, что функция па1п имеет тип уоза, обнуляет 
на всякий случай регистр ЕАХ, то компилятор ВоНапа понимает тип уо:а 
буквально, т.е. не задумывается о содержимом ЕАх. Еше одна особен- 
ность: компилятор ВоПап4 во всю использует регистры ЕЗТ и ЕБХ, а со- 
гласно принятым соглашениям функция не должна менять регистры ЕВХ, 
ЕВР, ЕЗР, ЕЗТ, ЕОТ Так, что ему приходится вставлять команды рРО$нН 
ЕВХ/РОЗН ЕЗТ В Начале и РОР ЕЗТ/РОР ЕВХ в конце функции. Я подозре- 
ваю, что это всего лишь рудимент прошлого. Дело в том, что в старых 
версиях Иие|-регистры сх и ох не могли использоваться для адресации. 


С Компилятор Вопапа, как и компилятор Мсгозой, проанализировав текст, 
убеждается, что переменные 1 и 3 — по сути, константы, поэтому он не 
резервирует для них память в стеке, а использует просто константы. Ре- 
зервируется память только для переменной з (уах_4). Причем это произ- 
водится также с помощью одной команды РОЗН (разь есх). 


С А вот теперь об интересном. Регистр ЕВР здесь вообще не используется, 
вместо него взят регистр Е$Р. Да-да, это известный оптимизирующий 
прием, и вам, дорогие читатели, необходимо о нем знать и помнить. "Но 
ведь содержимое-то регистра Е$Р меняется", — скажете вы и будете, ко- 
нечно, правы. Но компилятор не такой простак, чтобы забыть об этом, и 
прекрасно справляется с данной проблемой, динамически отслеживая 
изменения регистра ЕЗР и подстраивая адресацию. Смотрите, в начале 
была команда моу [езр+4+уах_4],0Св. Затем последовали две команды 
РОЗН, Т. е. содержимое Е$Р уменьшилось на 8. Поэтому далее компилятор 
ПИШЕТ 1еа еах, [е5р+0Сп+уак_4], все верно: 4 + 8 = 12 = ось. Кстати 
ГРА Рго, к счастью, эти вещи также понимает и в обеих командах указы- 
вает переменную уаг_4. 


Временные переменные 


Что такое временные переменные? Я рассматриваю их как переменные, ис- 
пользуемые для хранения промежуточных результатов вычислений. При вы- 
числениях широко применяеются регистры процессора. Поэтому можно 
сказать, регистры используются в качестве временных переменных. Мы уже 
встречались с таким использованием. Возьмите хотя бы листинг 3.10 и орга- 
низацию в нем цикла (адреса 00401027—0040102Е). Регистр ЕАХ играет здесь 
как раз роль временной переменной, в которой хранится (временно, пока 


Основные парадигмы анализа исполняемого кода 237 


работает цикл) параметр цикла. При использовании вещественных пере- 
менных для хранения промежуточных результатов подключаются регистры 
арифметического сопроцессора. Как правило, для этих целей служат три 
первых регистра арифметического сопроцессора: $зт (0), 3т(1) и $т(2). Если 
вернуться опять же к листингу 3.10, то там в комментарии к листингу я об- 
рашал ваше внимание на способ начальной инициализации вещественных 
переменных: вещественная константа вначале загружается в регистр $т(0) 
сопроцессора (команда Е1а), а затем оттуда загружается в область памяти, 
которая отведена для вещественной переменной (команда +5еЕр). 


Сколько же всего регистров может понадобиться, если вычисляемое выра- 
жение сложное? Но давайте просто порассуждаем. Действия, которые мы 
выполняем над числовыми переменными, являются бинарными действиями. 
Другими словами, в каждой операции участвуют два операнда. А результат 
можно поместить либо в третий операнд, либо в один из операндов, участ- 
вующих в предыдущем действии. Результат выполнения действия может 
быть операндом в другой бинарной операции, но опять в операции участву- 
ют два операнда, а результат помешается в один. Эти рассуждения приме- 
нНиМы и в том случае, если в выражении имеются скобки. Из данного рассу- 
ждения можно сделать вывод, что для хранения промежуточных результатов 
достаточно двух операндов. А как быть, если операнды имеют длину 64 бита 
(если процессор 32-битный)? Для этой цели компилятор С++ может ис- 
пользовать библиотечные процедуры (например, _а11а1у), которые припа- 
сены на такой случай. Впрочем, как мы увидим далее, иногда компилятор 
все же использует стек под временные переменные. 


Ну, стало быть, пора разобрать какой-нибудь поучительный пример. Лучше 
всего для этой цели подходит какое-нибудь вычисление. В листинге 3.29 
есть такое вычисление, причем в формуле участвуют и целые, и вешествен- 
ные типы переменных. | 





#1ос1аае <звало.В> 


У01А пма1л () 
{ 
аоцб1е 1,),$; 
10 К,а; 
1=10; )=20; К=30; 9=40; 
5= ((К-1)* (а-1))*( (1-1)/()-1)); 
ретпЕЕ ("%ЁЕ\п", $); 
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В листинге 3.30 представлен дизассемблированный код функции па1п, взЯ- 
тый из дизассемблера ГРА РГго. 





00401000 
00401000 
00401000 
00401000 
00401000 
00401000 
00401000 
00401000 
00401000 
00401001 
00401003 
00401006 
0040100С 
0040100Е 
00401015 
00401018 
00401012 
00401026 
00401029 
0040102С 
00401022 
00401032 
00401035 
00401038 
0040103В 
0040103Е 
00401044 
00401047 
00401040 
0040104Е 
00401051 
00401054 
00401057 
0040105А 


ргос пеах 


амога рег -8 

ебр 

ебр, езр 

езр, 24В 

95:а61_ 408110 
[ебр+уаг_8] 
95:а6ю1 408108 
[ебр+уахг_20] 
[ебр+уахг_ 14], 1ЕБ 
[ебр+уаг 18], 288 
еах, [ебр+уаг_ 14] 
еах, 1 

есх, [ебр+уаг 18] 
есх, 1 

еах, есх 
[ебр+уахг_24], еах 
[ебр+уаг_24] 
[ебр+Уаг_8] 
95:9ю1 408100 
[ебр+уахг_20] 
45:9ю1 408100 

$: (1), 56 

56 (1), 5% 
[еБр+уаг_10] 

езр, 8 
[езр+2СП+уаг_2С] 
ОЕЕзеё опк 4080ЕС 


; СОБЕ ХВЕЕ: $6ах&+16Е?р 
ачота рег -2СВ 
мот рег -24В 
амога рег -208 
Чмога рег -188 
ЧмогЯ рег -14П 
чот рег -108 
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.Сехе:0040105Е са11 _ре1пЕЕ 
. Сехё:00401064 ааа езр, ОСЬ 
.бехе:00401067 хог еах, еах 
.Сехе:00401069 пох езр, ебр 
. Сехе:0040106В рор ебр 
.Сехе:0040106С тееп 
.Еехе:0040106С па1п епар 


Комментарий к листингу 3.30 
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С На локальные переменные отводиться 36 байтов (заб езр,24н). Это 


больше на четыре байта, чем требуется для пяти переменных. Компиля- 
тор не удержался и выделил стек для временной переменной, хотя, на 
первый взгляд, мог бы этого и не делать, т. к. можно было бы задейство- 
вать резерв в лице регистра Е‚_х или оставить в регистре вАх (см. далее). 
Компилятор М!сгозой избегает использовать для вычислений регистры 
ЕВХ, ЕОТ, ЕЗТ, Т. К. Пришлось бы принимать меры для их восстановления 
в конце функции. 


По адресам 00401006—0040101Е стоят команды начальной инициализа- 
ции переменных. Для инициализации вещественных переменных, как и 
ранее, компилятор использует вещественные константы”, хранящиеся в 
сегменте данных. При этом константа вначале загружается в регистр 
5т(0) арифметического сопроцессора (команда Е1а), а потом уже в пере- 
менную (команда Езёр). Целые переменные инициализируются непо- 
средственной загрузкой в них (команда поу) определенных значений. 


Далее начинаются непосредственные вычисления. Давайте подробно в 
них разберемся. 


» Команды 00401026—0040102Е — это загрузка в регистры переменных 
к иаи дальнейшая подготовка их к выполнению умножения. Подго- 
товка, собственно, сводится к вычитанию из них единицы. Таким об- 
разом, в ЕАХ у нас оказалась разность к-1, ав Есх — разность 4-1. Те- 
перь можно производить умножение. Далее — команда 1то1 еах,есх, 
и результат умножения оказывается в регистре ЕАХ. Другими словами, 
(К-1) * (9-1) ->ЕАХ. И вот теперь надо решать вопрос, где хранить ре- 
зультат этих вычислений. Регистр ЕАХ вполне бы подошел, т. к. далее 
он, вроде бы, более не используется в вычислениях. Но есть одно 
"но". Получившийся целый результат потом должен участвовать в вы- 
числениях с вещественными числами. Команда же Е1за загружает стек 


7 В языке С++ константы, хранящиеся в сегменте данных и имеющие, как и пере- 


менная, определенный тип, называют типизированными. Константы, которые ис- 
пользуются только непосредственно в тексте программы, называют литеральными. 
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арифметического сопроцессора из области памяти. Таким образом, 
компилятор вполне разумно решил, что есть смысл использовать вре- 
менную переменную для хранения промежуточного результата прямо 
в стеке. 


е Перейдем теперь к дальнейшим вычислениям. Итак, далее результат 
вычисления выражения (к-1)* (9-1) с помощью команды Е11а загру- 
жается в вершину стека арифметического сопроцессора, т. е. в регистр 
$т(0). Затем следует команда Е1а, загружающая в $т(0} переменную 1. 
При этом старое значение зт(0) перемещается в $т (1). Потом коман- 
да Езоь а9$:951 408100 (адрес 0040103Е) вычисляет 1-1. Результат при 
этом остается в $т(0). Следующая команда Е1а загружает в $т(0) пе- 
ременную 3. При этом (будьте внимательны!) старое содержимое 
т (0) перемещается в $Т(1), а старое содержимое $т(1) перемещается 
В 5Т(2). Таким образом, $т(2) играет здесь роль временной перемен- 
ной. Следующая команда Езоаь вычисляет 93-1. Теперь Еазур 
$ (1), Е — ЭТО деление с выталкиванием из стека. В результате част- 
ное оказывается в $Т(0), а то, что было в $т(2), переходит в $Т(1). 
Команда Ето1р з% (1), — это умножение с выталкиванием из стека. 
Таким образом, окончательный результат оказывается в $Т(0). А вот 
это уже последний штрих: ЕзЕ [ебр+уах_10], что просто означает 
5Т (0) ->5. Заметим, что команда ЕзЕ помещает значение в переменную 
без выталкивания из стека. 


» Далее для отправки в стек вещественного числа используется уже из- 
вестный нам прием: команда зо езр,8, равносильная двум командам 
РОЗН, ГОТОВИТ Место для вещественной переменной. И далее команда 
ЕзЕр (уже с выталкиванием из стека сопроцессора) помещает резуль- 
тат вычислений в стек для использования в функции рх1пеЕ. 


Итак, временные переменные используются компилятором для проведения 
каких-либо выкладок. В качестве временных переменных могут выступать 
обычные регистры, регистры арифметического сопроцессора, а также стеко- 
вые переменные. 


Очень часто временные переменные нужны, когда результаты выполнения 
одной функции используются в другой функции. 


В листинге 3.31 представлена программа, в которой результат выполнения 
функции заб используется в функции ааа, а результат выполнения функции 
ааа, в свою очередь, используется в ре1оеЕ. В листинге 3.32 представлен 
фрагмент дизассемблированного ПРА Рго кода, как раз касающийся вре- 
менных переменных. 
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#10с1аае <эЕа1о.18> 
106 ааа (10е, 11%); 
106 зар (11Е, 1106); 


у01аА майл () 
{ 
1пЕ 1=10,)=20; 
ре1пЕЕЁ ("ЗА\п", ааа (1,596 (1,)))); 


106 ааа (106 а, 10% Ъ) 
{ 

тебигп а+Ъ; 
}; 
106 за (10 а, 1106 Ъ) 
{ 


хебагп а-Ь; 





.Бехе:00401014 ох еах, [ебр+уаг 8} 
.Сехе:00401017 разв еах 
.бехе:00401018 ох есх, [ебр+уаг 4] 


.Сехёе:0040101В разв есх 
.Сехё:0040101С са11 зию 401060 


.бехЕ:00401021 ада езр, 8 
. Сехё:00401024 разй еах 
.бехе:00401025 ОХ еах, [ебр+уаг 4] 


.Сехёе: 00401028 разв еах 
.Сехё:00401029 са11 зи 401050 
.бехе:0040102Е ааа езр, 8 
.Сехе:00401031 разв еах 

‚ Сехе:00401032 разр оЕЁзее ипк 4060ЕС 
. Сехе:00401037 са11 _ре1пЕЕ 
.Сехе:0040103С ааа езр, 8 
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Комментарий к листингу 3.32 


Переменные уах_4 И уаг_8 соответствуют 1 и ) в программе. Итак, вначале 
вызывается функция зо6_401060, Т. е. за. Результат функции, как и следо- 
вало, оказывается в регистре ЕАх. Потом регистр ЕАХ используется уже как 
переменная, которая затем обрабатывается как параметр при вызове функ- 
ЦИИ ада (за5_ 401050). Далее аналогично: результат опять оказывается в ре- 
гистре Ах, и он (регистр) используется в качестве параметра вызова функ- 
ЦИИ ру1пЕЕ. 


Регистровые переменные 


В языке С предусмотрен тип переменной хгед1зхег. Изначально предполага- 
лось, что переменные, определенные, как гед15%ех, Должны, По возможно- 
сти, храниться именно в регистре. Современные компиляторы не обращают 
внимания на это ключевое слово (хотя для совместимости и признают его), 
а действуют так, как подсказывают им соображения целесообразности, а 
также установленные опции оптимизации. Рассмотрим простую программу, 
представленную в листинге 3.33. Откомпилируем программу с помощью 
компилятора У\15иа| С++ с опцией "создавать компактный код". 


злалль 





#1ос1аае <5691о.6> 
у01А4 па1п() 
{ 
10 1,),$; 
1=0; 9)=1; $=0; 
Рог (1=0; 1<100; 1++,7]++)3=$+7; 
рилпЕЕ("%а за %а \п",1,),5); 
}; 


Результат дизассемблирования исполняемого кода программы из листин- 
га 3.33 представлен в листинге 3.34. 





.Сехе:00401000 — па1п ргос пеаг ; СОБЕ ХВЕЕ: 5$аг&+16Е?р 
.бехе:00401000 хог еах, еах 

.ехе:00401002 разв 64в 

‚ Сехе: 00401004 пс еах 


.Сбехе:00401005 {оз а есх, есх 


Основные парадигмы анализа исполняемого кода 243 
.Сехе:00401007 рор еах 
сехе:00401008 1ос 401008: ; СОБЕ ХВЕЕ: _ма1п+С?) 
. Сех®:00401008 ааа есх, еах 
.Сехе:0040100А 1пс еах 
‚ Еех®:00401008В ес еах 
.Сехе:0040100С 912 зпоге 1ос 401008 
.бех&:0040100Е разв есх 
.бех&:0040100Е разв еах 
. Еехе:00401010 рай 64в 
.Сехё:00401012 разв оЕЁзее арор "за %а за \п" 
‚ Сехе:00401017 са11 _рЕЗПЕЕ 
„.Сехё:0040101С ааа езр, 108 
.Кехе:0040101Е хог еах, еах 
.Сехе:00401021 хеёп 
. Сех&:00401021 па1п епар 


Комментарий к листингу 3.34 


(С Обратите внимание, что, хотя в исходной программе определены три ло- 


кальные переменные, в результирующем коде стек для хранения пере- 
менных не используется. И это как раз тот случай, когда компилятор 
воспользовался регистрами для хранения переменных. Замечу также, что 
в целях экономии размера кода в функции пазп отсутствуют пролог и 
эпилог. 


Итак, регистр ЕСХ используется для хранения переменной з (хог 


есх,есх — ЭТО Просто 5=0). Далее команды 


хог еах, еах 


1пс еах 


относятся к переменной 5. Что касается переменной 1, то здесь сделана 
довольно интересная модификация, в целях уменьшения кода разумеется. 
Вместо того чтобы увеличивать значение некоторой переменной, а затем 
сравнивать ее со значением 100, некоторой переменной присваивается 
значение 100, и после каждого прохода тела цикла значение переменной 
уменьшается, а получившийся результат сравнивается с 0. Это и короче, 
и быстрее. В качестве такой регистровой переменной выступает ох. 


Наконец, последнее. Поскольку в конце выполнения цикла у нас нет пе- 
ременной, содержащей значение 100 (как должно быть по программе), в 
стек отправляется просто число 100 (розн 64н). 
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3.2. Идентификация программных структур 


Понимание программной структуры исполняемого модуля часто важнее 
распознавания переменных, т.к. позволяет понять логику выполнения 
программы. 


3.2.1. Процедуры и функции 


С процедурами и функциями мы уже встречались неоднократно. Сейчас 
постараемся обобщить уже имеющийся у нас опыт и исследовать новые 
особенности. 


Передача параметров 


До сих пор мы молчаливо предполагали, что данные в процедуру передают- 
ся через стек. Да, этот механизм используется чаще всего, и об этом мы бу- 
дем говорить в следующем разделе. Но данный механизм — отнюдь не 
единственный. 


Отвлечемся пока от компиляторов и просто поразмышляем над тем, как и 
каким образом, в принципе, могут передаваться параметры в процедуру. Ес- 
ли вы работаете на ассемблере, то все перечисленные ниже механизмы мо- 
гут быть взяты на вооружение. Боле того, никто не помешает вам использо- 
вать сразу несколько механизмов. При работе с компиляторами языков 
высокого уровня приходится считаться с принятыми соглашениями, но о 
них будет сказано позднее. 


Через стек 


Передача параметров через стек является самым распространенным спосо- 
бом. Он позволяет создавать рекурсивные процедуры, тогда как использование 
других подходов делает рекурсию весьма проблематичной. Параметры по- 
мещают в стек обычно при помоши команд Розн. Но возможен и другой 
способ, с которым мы неоднократно встречались. Можно вручную изменить 
значение указателя стека, а затем с помощью обычных команд моу помес- 
тить параметры в выделенную область. Например, если два параметра нахо- 
дятся, соответственно, в регистрах кАХ и ЕВх, то поместить их в стек можно 
последовательностью команд: 


ЗОВ ЕЗР, 8 
МОУ [ЕЗР],ЕАХ 
МОУ [ЕЗР],ЕВХ 


8 В языках высокого уровня принято различать процедуры и функции. С точки же 
зрения дизассемблированного текста, разницы между этими двумя понятиями нет. 


Основные парадигмы анализа исполняемого кода 245 


Это равносильно двум командам: 


РОЗН ЕАХ 
РОЗН ЕВХ 


Напоминаю, что стек растет вверх в сторону меньших адресов. 


При передаче параметров важным вопросом является порядок следования 
параметров в стеке. Вызываемая процедура при взятии параметров из стека 
следует вполне определенному порядку, этого порядка и необходимо при- 
держиваться при вызове данной процедуры. Но это лишь одна проблема. 
Вторая проблема заключается в освобождении стека. После того как вызы- 
ваемая процедура выполнила предполагаемые действия и возвратила управ- 
ление в вызывающий ее фрагмент программы, в стеке остаются передавае- 
мые параметры. Многократный вызов процедуры, в конце концов, может 
привести программу к краху. Практикуются два подхода к решению этой 
проблемы. Первый способ применяется в языке С++. Он заключается в 
том, что стек освобождается уже после того, как осуществлен возврат из 
данной процедуры. Это весьма удобно, покольку тогда можно использовать 
процедуры с переменным числом параметров. 


( Замечание ) 


Примером такой процедуры может служить стандартная библиотечная функция С 
ре1пеЕ. Первым параметром этой функции всегда идет строка, которая может 
содержать специальные подстроки (они называются спецификаторами фор- 
мата), начинающиеся с символа $. Количество таких подстрок равно количе- 
ству дополнительных параметров функции ре1пЕЕ. 





Для восстановления стека используется обычно команда Арр ЕЗР, 4* м, где 
№ — количество 32-битных параметров?. Но возможна и такая команда: зов 
ЕЗР, -4*М№, ИЛИ Даже команды РОР. Важно понимать их назначение. Иногда 
компилятор может в целях экономии восстанавливать стек, так сказать, оп- 
том, после вызова сразу нескольких процедур. 


Второй способ восстановления стека заключается в использовании при вы- 
ходе из процедуры команды вЕТМ 4*м№, здесь М— опять же количество 32- 
битных параметров. Такой подход изначально использовался в компилято- 
рах языка Паскаль. Конечно, это несколько быстрее, но зато проблематично 
вызывать процедуру с переменным количеством параметров. 


Через сегмент данных 


Данный подход весьма очевиден. Использование глобальных переменных 
для передачи информации в процедуру просто напрашивается. Однако та- 
кой подход вызывает и головную боль. Действительно, чтобы не наделать 


7 Параметр типа доць1е следует, очевидно, расценивать как два 32-битных. 
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ошибок, вам придется для каждой процедуры выделить свой набор глобаль- 
ных переменных, а это уже расход памяти. С другой стороны, использова- 
ние глобальных переменных делает проблематичным рекурсивный вызов: 
вы же не можете использовать те же переменные, если они уже используют- 
ся. Однако этот недостаток совсем не означает, что данный подход не ис- 
пользуется. Ничто не мешает вам применять его при написании программы 
на С++ или Реры. 


Описанный выше подход можно усовершенствовать, если использовать для 
передачи параметров через специально организованный блок памяти. Ско- 
рее всего, такой блок вам придется организовывать для каждой процедуры, 
хотя теоретически можно придумать структуру универсального буфера, через 
который будут передаваться параметры для всех используемых процедур. 
Структура такого буфера может быть организована таким образом, что ста- 
нет возможным рекурсивный вызов процедур. 


В программном коде 


Передача параметров в программном коде весьма экзотична, но вполне ре- 
альна, если воспользоваться ассемблером. Рассмотрим следующую схему: 


САЬТ РКОС1 
РВ "Этот параметр передается в поограммном коде", 0 


; сюда будет осуществляться возврат из процедуры РВОС1 


РВОС1 РВОС 
;извлекаем из стека адрес возврата 
; определяем адрес параметров и их длину 
; изменяем адрес возврата в стеке 
; обработка 
; возврат из процедуры 
ВЕТМ 
РВОС1 ЕМОР 


Как видим, в этой схеме нет ничего сложного или невероятного. Однако 
реализация его на языке высокого уровня требует дополнительных усилий. 


При помощи регистров 


Передача параметры через регистры является довольно быстрым способом. 
Однако есть, разумеется, и ограничения, поскольку количество регистров не 
так уж и велико. Такой подход применяется в основном в сочетании с дру- 
гими механизмами, обычно стековым способом передачи параметров — 
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первые параметры передаются через регистры, а остальные — через стек. 
Мы будем говорить об этом подходе далее. 


Соглашения о передаче параметров 


Обратимся теперь к компиляторам языков высокого уровня. Как и следова- 
ло ожидать, они в основном используют стековый способ передачи пара- 
метров. Таблица 3.2 содержит сведения об основных соглашениях, исполь- 
зуемых современными компиляторами. 


Таблица 3.2. Стандартные соглашения о передаче параметров 


Название Порядок Способ ос- Комментарий 
соглашения следования — вобождения 
параметров — стека 
Си-соглашение Справа на- Вызывающая — Компилятор автоматически под- 
(__сдес!) лево программа ставляет перед именем функции 
знак подчеркивания (_) 

Стандартное Справа на- Вызываемая Компилятор автоматически под- 
соглашение лево процедура ставляет перед именем функции 
(__${са!) знак подчеркивания (_). В конце 


имени функции ставится суф- 
фикс @, а за ним идет число, 
определяющее суммарную дли- 
Ну параметров в байтах 


Соглашение Слева на- Вызываемая Используется в языках Паскаль 
языка Паскаль право процедура и бер 

(__разса!) 

Соглашение Слева на- Вызываемая Для компилятора МюсгозоН С++ 
быстрого вызова право процедура задействованы два регистра 
(__Чаз{са!). Это (ЕСХ, ЕМХ). Если для передачи 
соглашение параметров их не хватает, то 
еще называют остальные параметры переда- 
регистровым ются через стек. Компилятор 
вызовом Вопапа С++ использует три ре- 


гистра (ЕАХ, ЕБХ, ЕСХ) 


Замечание 


Представленные в табл. 3.2 соглашения не единственные. В разных языках 
есть свои соглашения. Например, Вер поддерживает соглашение __ за'еса!, 
Вазс имеет свое соглашение. Некоторые соглашения выходят из употребле- 
ния. Так, соглашение языка Паскаль (__ра$са!) не поддерживается больше М!- 
сго$ой \5иа! С++. 
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При написании программ на С++ нам чаще всего встречаются соглашения 
__ сдес! (при работе с обычными и библиотечными функциями) и __$9са| 
(при вызове большинства АР|-функций). 


В качестве иллюстрации использования регистрового соглашении, т. е. бы- 
строго вызова функций рассмотрим следующую простую программу (лис- 
тинг 3.35). 





#1пс1оае <5&А1о.В> 
116 _ Еаз®са11 ааа (1пе, 116 , 110%); 
У01А та1п () 
{ 
1пЕ 1=10,)=20,К=30; 
ри1п ЕЕ ("%а\п", ааа (1,3,К)); 
}; 


1п< _ Еаз®са11 ада (1пе а, 1пЕ Ю, 116 с) 
{ 
хебохп а+Ъ+с; 


}; 


Как видим, в программе имеется функция, объявленная как __ Таяса|. Рас- 
смотрим вначале дизассемблер исполняемого кода, сделанного компилято- 
ром Мгсгозвой С++ (листинг 3.36). 





.Сехе:00401000 мазп ргос пеаг ; СОБЕ ХВЕЕ: з6аг*+16Е?р 
‚ Сехе:00401000 уаг_ С = Чмога рег -0Св 

.Сехе:00401000 уаг 8 = Чмога рег -8 

.Сехе:00401000 уаг 4 = Амога рег -4 


.Сехе:00401000 разь ебр 

. СехЕ:00401001 пох ефр, езр 

‚ СехЕ:00401003 $иЪ езр, ОСП 

‚ Сехе:00401006 оу [ебр+уахг_4], ОАП 
.бехе:00401000 пох [ебр+уак_С], 148 
.бехе:00401014 по [ебр+уаг_8], 1ЕП 
.Сехе:0040101вВ пох еах, [ебр+уаг_8] 


. Сехе:0040101Е разй еах 
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.Сехе:0040101Е по еах, [ефр+уаг С] 
.бехе:00401022 ох есх, [ебр+уаг 4] 
.Сехф:00401025 са11 зир 401040 
.Сехе:0040102А разв еах 

. Сехе:0040102В разв оЕЕзее ипк_ 4060ЕС 
.Сехе:00401030 са11 _ре1пЕЕ 
.Сехе:00401035 ааа езр, 8 
.Сехе:00401038 хог еах, еах 
.ехе:0040103А пох езр, ебр 
.Сехе:0040103С рор еьр 

. Сехе:00401030 геп 

.Сехе:00401030 ма1п епар 


Комментарий к листингу 3.36 


Код, представленный в листинге, для нас достаточно знаком. Но есть один 
момент, с которым мы еще не встречались. Согласно программе из листин- 
га 3.36, у функции ааа должны быть три параметра. Очевидно, что 
заб 401040 И есть функция ааа. Далее команды поу еах, [ебр-+уах_8] /розв 
еах отправляют в стек последнюю переменную к. Значения же переменных 
ти 3 помещаются в регистры ЕСХ и ЕБХ соответственно. Но это и есть со- 
глашение __Ёа%са|, принятое для компилятора \У!5на| С++. В документации 
компилятора указано, что он выполняет предписание быстрого вызова по 
мере возможности. Так оно и есть, если увеличить количество параметров, 
то компилятор будет передавать их уже обычным образом через стек. Это 
очень легко объяснить, ведь в процедуре, которая будет вызвана, регистры 
также нужны, и при увеличении количества параметров рабочих регистров 
не хватит, и придется создавать локальные стековые переменные. 


В листинге 3.37 представлен дизассемблированный код, полученный с по- 
мощью компилятора ВоЙапа С++ из той же программы. 





сехё: 00401108 па1п ргос пеаг ; ПАТА ХВЕЕ: .Чафка:0040АО0В8?о 
фехё: 00401108 агас Чмога рег 108 

сехе: 00401108 агау ЧМмога рег 1486 

сехЕ:00401108 епур Чмога рег 188 

сехе:00401108 розь ерх 

сехЕ:00401109 разв е51 

фехе:0040110А розь еа1 

фехе:0040110В пох ебх, ОАБ 

фехе:00401110 ФА ез1, 148 
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. Еехе:00401115 ох еЧ1, 1ЕВ 


.Сехс:0040111А ПОХ есх, еа1 
.6ехе:0040111С пох еах, ез1 
.БехЕе:0040111Е пох еах, ебх 
„.Сехе:00401120 са11 зир 401138 
.Сехе:00401125 ра$В еах 

. ехе:00401126 разр ОЕЁзее ЕотгтаЕ ; Еотаа® 
‚Сехе;0040112В са11 _рЕТПЕЕ 
.Сехе:00401130 ааа езр, 8 

‚ ехе:00401133 рор еа1 
.Сехе:00401134 рор е51 
.Сехе:00401135 рор ерх 

. Сехе:00401136 гесп 


. Сехе:00401136 ма1п епар 


Комментарий к листингу 3.37 


Как мы видим из листинга, компилятор Во|апа С++ посылает параметры 
последовательно в регистры ЕАХ, ЕБХ, ЕСХ. Замечу, кстати, что компилятор 
ВоПап4 вместо стековых переменных использует регистровые переменные в 
регистрах ЕВХ, ЕЗТ, ЕЪТ. В отличие о компилятора М!сго5ой, ВоПапа отно- 
сится к модификатору __Еаз&са11 "серьезно" и не отменяет предписание 
использовать регистры с увеличением количества параметров. 


Структуры стека 


Мы уже многократно изучали различные листинги, где обращали внимание 
на то, где в стеке располагаются адрес возврата, параметры, локальные и 
временные переменные. Сейчас наша задача — обобщить имеющийся опыт, 
а также получить некоторую новую информацию. 


Итак, смотрим на рис. 3.2. На нем изображены стадии, которые проходит 
стек, при вызове процедуры. Процесс изменения стека начинается с вызова 
процедуры (стадии 1—3) с помещением в стек параметров и заканчивается 
выделением памяти для локальных переменных и сохранением в стеке реги- 
стров, которые будут использоваться в процедуре и значения которых не 
должны изменяться после вызова (стадии 4 и 5). Рассмотрим подробнее эти 
стадии. 


1. Помещение параметров в стек осуществляется чаще всего командами 
РОЗН гед32 ИЛИ РОЗН ОМОВО РТВ меш, ГДе гед32 — 32-битный регистр, 
пет — адрес области памяти (прямой или косвенный). Но возможен и 
другой способ отправки параметров в стек. Вначале в стеке выделяется 
область для параметров, например, так: зов ЕЗР, М, где м — количество 


Основные парадигмы анализа исполняемого кода 251 


необходимых для параметров байтов, кратных 4. Затем с помошью обыч- 
ных команд моу параметры помещаются в стек. 


Начальное состояние стека 2 


| ЕЗР 


Осуществлен вызов процедуры 


—_ ЕЗР 





Выделена память для локальных 
переменных ЕЗР х М. 
Сохранены нужные регистры 


ЕЗР 


Локальные 
переменные 


ЕВР 
Старое значение ЕВР 





В стек отправлены параметры 
для процедуры 


ЕЗР 


Выполнены команды 
РУЗН ЕВР 
МО\М ЕВР,Е$ЗР 


Старое значение ЕВР 





ЕЗР, 
ЕВР 





Рис. 3.2. Стандартная структура стека при вызове процедуры 
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Например, так: 


МОУ ОПМОВО РТВ [ЕЗР],ЕАХ 
МОУ ОМОВР РТВ [Е$Р+4],ЕВХ 


ит. д. Если мы имеем дело с операндом типа аозь1е, имеющим размер 
8 байтов, то для помещения его в стек используется команда ЕЗТР, на- 
пример, ЕЗТР РиОвр РТВ (ЕЗР], и 8 байтов из регистра арифметического 
сопроцессора зт(0) будет отправлено в стек (см. листинг 3.10 и коммен- 
тарий к нему). 


2. Команда са, помещает в стек (за параметрами, если они есть) адрес 
возврата. Адрес возврата — это адрес следующей за командой СА, 
команды. Для того чтобы правильно возвратиться из процедуры, этот ад- 
рес должен находиться на вершине стека. Кроме этого, команда саг, 
осуществляет переход по указанному в ней адресу. Теперь работа по обу- 
страиванию стека переносится в процедуру. Обычно процедура начинает- 
ся с команды РОЗН ЕВР. Эта команда сразу предполагает дальнейшее ис- 
пользование евр, и, скорее всего, этот регистр будет нужен для адресации 
стековых переменных и параметров. Подтверждением тому будет сле- 
дующая команда: моу ЕВР,ЕЗР. Для чего это делается? Дело в том, что 
регистр ЕЗР привязан к командам РОЗН и РОР, которые изменяют его ав- 
томатически. Следовательно, если самый близкий к вершине стека па- 
раметр располагался в начале процедуры по адресу [Е$Р+4], то после 
команды Розн он будет располагаться по адресу [ЕзР+8]. При помощи 
регистра ЕВР фиксируется точка отсчета для параметров и стековых пере- 
менных. 


3. Следующий шаг в формировании структуры стека — это выделение об- 
ласти для хранения локальных переменных. Тут сразу надо оговориться, 
что если локальные переменные не предполагается использовать, то, со- 
ответственно, этот шаг компилятором пропускается. Выделение стека 
осуществляется обычно командой $0В ЕЗР, М, где № — количество выде- 
ляемых байтов, кратное 4. Однако в некоторых случаях может быть ис- 
пользована команда Аор ЕЗР, -М или несколько команда розн. Использо- 
вание команды РОЗН удобно с той точки зрения, что в одной команде 
можно совместить выделение стека и инициализацию переменной (см. 
листинг 3.26 и комментарий к нему). Последовательность команд 


РОЗН ЕВР 

МОУ ЕВР,ЕЗР 

ЗОВ ЕЗР, М 

можно заменить всего одной командой ЕМТЕВ м, которая, однако, почти 


совсем не используется компиляторами из-за своей чрезвычайной медли- 
тельности. 
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4. Наконец, если в процедуре предполагается использовать регистры ЕВх, 
ЕЗТ ИЛИ ЕОТ, ОНИ ДОЛЖНЫ быть сохранены в стеке. 


5. В конце процедуры состояние стека должно быть возвращено к состоя- 
нию, когда на вершине стека должен располагаться адрес возврата из 
процедуры. Кроме этого, должны быть восстановлены регистры ВР, ЕВХ, 
ЕЗТ, ЕОТ, ебли они, конечно, менялись. Довольно часто встречается по- 
следовательность команд 


МОУ Е5Р, ЕВР 
РОР ЕВР 


которую компилятор заменяет всего одной командой 1еауе. 


Если бы изложенная выше схема соблюдалась неукоснительно, то распозна- 
вание процедуры при дизассемблировании не составляло никакого труда, 
даже если бы процедура вызывалась с помощью косвенных команд вызова 
(САБЬ гед32, САБШЬ [ге932], САМ, [мет}). Современные компиляторы, однако, 
в целях оптимизации стали отказываться от использования регистра ЕВР для 
адресации стековых переменных и параметров (см. листинг 3.28 и коммен- 
тарий к нему). 


Очень интересным, на мой взгляд, является вопрос о вложенных процеду- 
рах. В С++ вложенные функции не возможны, а вот Паскаль вполне допус- 
кает возможность такого конструирования (листинг 3.38). 


— о 





_ 


ргодкам Рго)ес\1; 

уаг 

а: 1птедег; 

ргосеаиге ргос1 (а1:1п%едек); 

уаг Ь,9,а,е:1пъедек; 
ргоседоге ркгос2 (а1:1п%едег); 


Уаг с:1пъедек; 


Бед1п 
с:=30; 
мг1Ее]п (а1,ю,с,а,е, а); 
епа; 
Бед1п 
Ь:=20; а:=30; а:=40; е:=50; 
ргос2 (а1); 


епа; 
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Бед1п 


а:=10; 
ргос1 (а); 
епа. 


В листинге 3.39 представлена дизассемблированная основная (стартовая) 
часть откомпилированной в Рерыш программы из листинга 3.38. 





— 
и. 
СОПЕ: 00403984 роЬ11с зфакЕ 
СОБЕ: 00403984 этагё: 
СОБЕ;: 00403984 разв ебр 
СОПЕ:; 00403985 по ебр, езр 
СОРЕ: 00403987 ааа езр, ОРЕЕЕЕЕЕОВ 
СООЕ: 004039ВА пох еах, Чз:оЕЕЁ 4040А8 
СОБЕ: 004039ВЕ по Бусе рёг [еах], 1 
СОБЕ: 004039С2 ох еах, оЁЁзее амога 403994 
СОБЕ: 004039С7 са11 зир_ 403860 
СОРЕ : 004039СС поу 95: амога_40565С, ОАВ 
СОРЕ: 00403906 ох еах, Я5:амога_40565С 
СОРЕ: 00403908 са11 зир_ 403938 
СОПЕ: 004039Е0 са11 зоб 403394 


Комментарий к листингу 3.39 


В листинге 3.39 представлена стартовая часть программы. Из трех вызовов 
процедур, которые мы видим в листинге, один является вызовом процедуры, 
которая имеется непосредственно в прикладной программе (процедура 
ргос1). Очевидно, это процедура зоь_ 403938. Две другие процедуры — сис- 
темные и выполняются при запуске программы (начальная инициализация) 
и при окончании работы программы. Процедура эоь_403938 получает свой 
единственный параметр через регистр ЕАХ. Другими словами, в Берш 
"процветает" вызов __азса|, хотя в программе мы его, вроде бы, и не зака- 
зывали. Я даже при компиляции отменил опцию оптимизации, но, как ви- 
дите, Рер! управился по-своему. Переменная амога_40565с соответствует в 
программе переменной а, она и передается в процедуру через регистр. Еще 
прошу обратить внимание на команду ада езр,ОЕЕЕЕЕЕЕОВ. Я надеюсь, вам 
не составит труда сообразить, что перед нами в действительности коман- 
Да ааа езр,-16, ЧТО, конечно, равносильно зоЬ езр,16, Т. е. резервируется 
16 байтов. 
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В листинге 3.40 дан дизассемблированный текст откомпилированной про- 
цедуры ргос1 (за 403938). 





СОПЕ; 00403938 зар 403938 ргос пеаг ; СОБЕ ХВЕР: СОШБЕ:00403908В?р 
СОПЕ: 00403938 уаг_ 14 = @мога рег -14п 
СОПЕ: 00403938 уаг_10 = О@мога рег -108 


СОРЕ: 00403938 уаг_С 
СОПЕ: 00403938 уаг_8 
СОПЕ: 00403938 уаг 4 = @мога рег -4 


Чмога рег -ОСВ 
Чмога рег -8 


СОБЕ: 00403938 разН ерр 

СОПЕ: 00403939 пох ерр, езр 

СОПЕ: 0040393В ааа езр, ОЕЕЕЕЕЕЕСВ 
СОПЕ: 0040393Е ФА [ебр+уаг 14], еах 
СОБЕ: 00403941 ОХ [ебр+уаг_4], 146 
СОПЕ: 00403948 поУ [ебр+уаг_10], 1ЕБЪ 
СООЕ: 00403942 поУ [ерр+уаг_8], 281 
СОПБЕ: 00403956 поУ [ебр+уаг_С], 321 
СООЕ: 00403950 разв ерр 

СОВЕ: 0040395Е пох еах, [ебр+уаг_14] 
СООЕ: 00403961 са11 зар 40380С 

СОБЕ: 00403966 рор есх 

СОРЕ: 00403967 пох езр, ебр 

СОПЕ: 00403969 рор ебр 

СООЕ:0040396А гееп 


СОБЕ:0040396А зиЮю 403938 епар 


Комментарий к листингу 3.40 


0 Обратим внимание на то, в процедуре ргос1 определены четыре локаль- 
ные переменные. Однако мы видим, что в действительности в исполняе- 
мом коде определены пять локальных переменных. Переменная уак_14 
отведена для хранения параметра, переданного в процедуру (пох 
[еюр+уаг_14],еах), Т.е. является временной переменной. Команда ааа 
езр, ОЕРЕЕЕЕГЕСН равносильна ада езр,-20 — и здесь все верно (пять пе- 
ременных 20 = 4х 5). 


СО Далее идут еще более интересные моменты — вызов процедуры ргос2, В 
листинге 3.40 это команда са11 зар_40380с. Обращаю ваше внимание на 
то, что параметр в процедуру опять передается через регистр ЕАХ. Но что 
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означает команда розн еБр? Это что, еше один параметр? Но в программе 
его не было. Да и соглашению __Ёазса] это не соответствует. Вспомним 
теперь, что вызываемая процедура ргос2 является вложенной, а эта про- 
цедура должна иметь доступ к локальным переменным процедуры ргос1. 
Вот регистр ебр и передается "тайно" в ргос2, чтобы там через это зна- 
чение и был доступ к локальным переменным ргос1. Замечу также, что 
команда рор есх, Которая идет за вызовом процедуры, — это просто ос- 
вобождение стека от "нелегального" параметра. 


В листинге 3.41 представлен дизассемблированный код процедуры рхгос2 
(см. листинг 3.38). 





СОРЕ:0040382С зор 40380С ркгос пеаг ; СОБЕ ХВЕЕ: зоб 403938+29?р 
СОРЕ: 0040380С уаг 8 = амока рёг -8 

СОРЕ, : 0040380С уаг 4 = @мога рёг -4 

СОПЕ : 0040385С агд_О = Чмога рёг 8 
СОРЕ: 004038 РС разв ебр 

СОПЕ : 004038 РБ по ебр, езр 

СОБЕ : 00403892 ааа езр, ОГЕЕЕЕЕЕВ8Ы 
СОБЕ: 004038Е2 поу [ебр+уУаг_4], еах 
СОБЕ: 004038Е5 пох [ебр+уах_8], 1ЕВ 
СОРЕ: 004038ЕС пох еах, Я5:оЕЁ 404044 
СОРЕ: 004038Е1 ох еах, [ебр+уак_4] 
СОРЕ: 00403824 са11 зар 402878 

СОРЕ: 004038 Е9 поу еах, [ебр+ага_0) 
СОБЕ: 004038ЕС ох еах, [еах-4] 
СООЕ: 004038ЕЕ са11 зар 402878 

СООЕ: 00403904 пох еах, [ебр+уаг 8] 
СОБЕ: 00403907 са11 зар 402878 

СОПЕ: 0040390С по еах, [ебр+ага_0] 
СОБЕ: 00403902 поУ еах, [еах-8] 
СООЕ: 00403912 са11 зиь 402878 

СОРЕ: 00403917 поУу еах, [ебр+ага_0] 
СООЕ: 0040391А пох еах, [еах-0Сп] 
СОРЕ: 00403910 са11 зар 402878 

СОРЕ: 00403922 пох еах, [ебр+ага_0] 
СОБЕ: 00403925 поУ еах, [еах-101] 
СОПЕ: 00403928 са11 зар 402878 


Основные парадигмы анализа исполняемого кода 


СОРЕ: 00403920 са11 зар 402ВА8 
СОПЕ: 00403932 рор есх 

СОПБЕ: 00403933 рор есх 

СОРЕ: 00403934 рор ебр 

СОРЕ: 00403935 геп 

СОРЕ: 00403935 зар 40380С епар 


Комментарий к листингу 3.41 
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0) Сразу бросается в глаза множество вызовов процедур. Но мы-то знаем, 


что в исходном тексте (см. листинг 3.38) имеется только функция 
иг1ее1п. Однако на поверку иг1ке1п — вовсе не функция, а оператор. 
Компилятор преобразует этот оператор в вызовы двух процедур. Одна 
процедура (з.6_402в78) осуществляет формирование некоторый резуль- 
тирующей строки, которая и будет напечатана. Процедура вызывается 
столько раз, сколько параметров в операторе мк1+е1п. После формирова- 
ния результирующей строки вызывается процедура зоь_402вА8, которая 
и печатает строку на консоль. 


Обратим внимание на команду ааа езр,ОЕЕЕЕЕЕЕ8п. Резервируется па- 
мять для двух стековых переменных. В переменную уаг_4 помещается 
переданный в процедуру параметр. Переменная уаг_8 — это локальная 
переменная, которой присваивается значение 30 (1Еп). 


Кроме двух локальных переменных в процедуре имеется параметр ага_0, 
который является не чем иным, как переданным в процедуру значением 
ЕВР ИЗ процедуры ргос1, с помошью которого можно получить доступ к 
локальным переменным ргос1. 


Если посмотреть на исходный текст программы, то мы увидим, что в 
процедуре ргос2 печатаются: а1 — значение, переданное из ргос1 в каче- 
стве параметра, с — значение локальной переменной ркос1. Кроме этого, 
печатаются значения четырех переменных, которые определены в ркос1. 


Для получения значения переменных, определенных в ргос1, использу- 
ется разъясненный уже нами параметр агд_0. Посмотрите, как, напри- 
мер, извлекается значение переменной ь: 


оу е@х, [ебр+агч 0] 
поу еах, [еах-4} 


Опять же используется регистровый способ передачи параметров. В ре- 
гистр же ЕАХ помещается некий параметр аз:оЕЕ_4040А4, значение кото- 
рого нам неизвестно, но который, как можно догадаться, необходим для 
работы процедуры зоъ_402878. 
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Идентификация процедур и функций (обобщение) 


Идентифицировать процедуру — это значит определить, во-первых, адреса 
ее начала и конца, а во-вторых, количество и тип (или хотя бы размер) пе- 
редаваемых параметров, а также используемых стековых переменных и, на- 
конец, тип возвращаемого значения. Посмотрим, какие возможности у нас 
имеются. 


Возможность 1. Вызов процедуры. Команда САГТ, аааг явно указывает, что 
по адресу адагк располагается некая процедура. Однако: 


О косвенный вызов процедуры, например, сатт, ([ЕАХ], вызывает затрудне- 
ние у дизассемблеров. Здесь приходится подключать отладчик, либо са- 
мому анализировать дизассемблированный текст. Если к тому же значе- 
ние регистра ЕАХ будет меняться в зависимости от значения некоторых 
других параметров, то обнаружить таким способом все вызываемые про- 
цедуры становится весьма затруднительно; 


С из разд. 1.6.1 мы хорошо знаем, что вызвать процедуру можно самыми 
разными способами, даже при помощи команды ВЕТ. И если мы имеем 
дело с программой или вставками на языке ассемблера, а автор имеет 
намерения нас запутать, то возможностей у него море. Однако при не- 
стандартном вызове процедуры может присутствовать команда Арр БР, М 
(или ЗОВ ЕБР, -М, ИЛИ ОДНа или несколько команда РОР), и это должно вас 
побудить к дополнительному анализу кода. 


Возможность 2. Идентификация стандартного пролога функции. Обычно это 
три команды, следующие друг за другом: 

РОЗН ЕВР 

МОУ ЕВР, Е5Р 

ЗОВ ЕЗР, М 

Последняя команда может быть и другой, например, Арр ЕЗР, -М, или просто 
одна или несколько команд РОН. Наконец, выделения стека для локальных 
и временных переменных могут отсутствовать, если их просто нет или для 
этой цели используются регистры. Кроме того, в начале процедуры могут 
стоять команды сохранения регистров ЕВХ, ЕЗТ, ЕОТ. При оптимизации ком- 
пилятор может обходиться без стандартного пролога и все стековые пере- 
менные и параметры адресовать при помощи регистра Е$Р. Наконец, в каче- 
стве пролога может быть использована команда ЕМТЕВ М. 


Конец функции проще определить, когда известно начало. Но иногда вам 
удается вначале идентифицировать именно окончание функции. 
Возможность 3. Конец процедуры может быть определен, опять же, если 
имеется стандартный эпилог: 


МОУ ЕЗР, ЕВР 
РОР ЕВР 
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Иногда вместо этого набора используется просто команда ЪЕАУЕ. После 
данного эпилога естественно идет команда вЕТМ. Вообще любая команда 
ВЕТМ (а особенно ВЕТМ М) должна настораживать — не есть ли это конец 
процедуры. Это хороший критерий, но срабатывает далеко не всегда. В ча- 
стности, при наличии в функции более одного блока ку... ехсере 
компилятор \15иа! С++ может генерировать (ради оптимизации, разумеется) 
несколько стандартных эпилогов, так что и дизассемблер ГРА РГго в такой 
ситуации легко ошибается. 


Возможность 4. Конец процедуры найти проще, если определено начало. 
Чаще всего первая попавшаяся команда вЕТМ и есть этот конец. Однако 
выйти из процедуры можно и в ее середине. Но тогда перед командой вЕТМ 
вы без труда должны найти некий условный переход куда-то за команду 
ВЕТМ, например, так: 


СМР ЕАХ, 1 
42 11 
ВЕТМ 

Ы: 


И дальнейший поиск конца процедуры можно продолжить с метки 11. Если 
процедура должна что-то возврашать по окончанию работы, т.е. является 
функцией, то в конце ее мы обязательно найдем команду, которая опреде- 
ляет значение регистра ЕАХ: ХОв ЕАХ,ЕАХ (возвращает {+а1зе), МОУ ЕАХ, 1 
(возвращает +гае), какие-либо команды, изменяющие значение ЕАХ (мо\, 
АОО, ЗОВ ИТ. Д.). Если тип, который возвращает функция, составляет 8 бай- 
тов, то данное возвращается в паре регистров ЕБХ:ЕАХ. Наконец тип дозь1е 
возвращается в регистре арифметического сопроцессора $тТ(0). 


Замечание 


Если возвращаемый тип является, например, структурой, то возвращается не 
структура, а указатель на нее в регистре кАХ. При этом сама структура соз- 
дается в вызывающей функции, а при вызове функции, имеющей тип 
"структура", через регистр ЕАХ передается указатель на нее. Таким образом, 
функция будет работать с уже созданной структурой, а потом возвратит ука- 
затель на нее же. 


Возможность 5. Большинство процедур и функций имеют либо переменные, 
определенные в стеке, либо параметры, передаваемые, опять же, через стек. 
Это важный признак, потому что тогда вам обязательно встретятся команды 
с адресацией через регистры ЕВР ИЛИ ЕЗР. Внимательно просматривая код 
над и под найденной командой, можно определить начало процедуры. 


Возможность 6. При стандартной адресации стековых переменных стандарт- 
ным образом (т. е. через регистр ЕВР) не представляет особого труда опре- 
делить выделяемый для них объем стека (30в ЕЗР,М или другая подобная 
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команда). Что касается передаваемых параметров, то здесь проблема не- 
сколько сложнее, т. к. мы не знаем, сколько памяти на них было выделено. 
Проще всего проблему можно решить, найдя вызов данной процедуры, по- 
скольку все параметры отправляются в стек обычно просто командами рРо$н 
или другим очевидным способом (см., например, листинг 3.10 и коммента- 
рий к нему) Если место, откуда была вызвана наша процедура, не известно, 
то придется анализировать ее текст. Для начала следует найти максимальное 
смещение при адресации относительно значения ЕВР в сторону старших ад- 
ресов. Поскольку после параметров в стек положили еше адрес возврата и 
старое значение ЕВР, то первый (с минимальным адресом) параметр будет 
находиться по адресу [ЕВР+8] (см. рис. 3.2). Таким образом, если макси- 
мальное смещение при использовании адресации [ЕВР+М] равно мах_оЕЕт, ТО 
количество байтов, которое было выделено для параметров, составит 
пах_оЕЕ-4, а ориентировочное количество параметров из предположения, 
что все они 32-битные и имеют простой тип (не массивы или структуры), 
СОСТавит (пах_оЕЁЕ-4) /4. 


После теоретических выкладок приведем конкретный пример. Рассмотрим 
следуюшую программу, написанную на С++ (листинг 3.42). 





#1пс1оае <э6А1о.Н> 


#10с]о4е <м1паомз.НВ> 
аочЬ1е муЕопс (аочб1е, __ 11664, 1п6, ВУТЕ); 
%У0о1А та1п() 
{ 
ЯочЬ1е ЕЁ=10.45; 
__ 10664 11=1000; 
106 ))=200; 
ВУТЕ Б=50; 
аопр1е з5=туРапс (ЕЁ, 11,)7),05); 
резпЕЕ("%Е\п", ЕЕ); 
}; 
аоцр1е муЕопс (4оцр1е ЕЁ, _ 110664 1, 11% }, ВУТЕ 5) 
{ 
Чоо1е $; 
$=#+1+)+6; 
ре1пЕЕЁ("%Е\п", 5); 


гебсогп 3; 
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261 


В листинге 3.43 содержится дизассемблированная функция маёп из листин- 
га 3.42. 





:00401000 
:00401000 
:00401000 
:00401000 
:00401000 
:00401000 
:00401000 
00401000 
:00401000 
:00401000 
:00401001 
:00401003 
:00401006 
:0040100С 
:0040100Е 
:00401016 
:0040101р 
:00401024 
:00401028 
:0040102В 
:0040102С 
:0040102Е 
:00401030 
:00401033 
:00401034 
:00401037 
:00401038 
:0040103В 
:0040103Е 
:00401041 
:00401046 
:00401049 
:0040104С 


ргос пеаг 


__ 


; СОРЕ ХВЕЕ: $з$аг&+16Е?р 
Чмога рек -408 
Чмога рег -308 
амога рек -288 
Чмога рег -1С8 
Чмога рег -18В 


ЧмогЯ рег -108 


Чмога рег -0СВ 
БуЕе рег -1 


ебр 
ебр, езр 

езр, 281 

95:461 408108 
[ерр+уак_28] 
[ерр+уаг_ 10], ЗЕВП 
[ебр+уаг_С}, 0 
[ерр+уаг_1С], 0С8В 
[ебр+Уаг_1], 320 


а1, [ебр+уаг 1] 
еах 

есх, [ебр+уаг_1С] 
есх 

еах, [ебр+уаг С] 
еах 

еах, [ебр+уаг_10) 
еах 


[ебр+уаг_28] 
езр, 8 
[езр+401+уаг_40] 
зар 401070 

18В 
[ебр+уаг 18] 


езр, 


[ебр+уаг_28] 
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.Еехе:0040104Е заБ езр, 8 

. Сехе:00401052 ЕзЕр [езр+301+уУаг_30] 

. Сехе:00401055 разв оЕЁзеЕё ипк_4080ЕС 
.Сехе:0040105А са11 _ре1ПЕЕ 

. Сехе:0040105Е ааа езр, ОСЬ 
.ехе:00401062 хог еах, еах 

. сехёе:00401064 пох езр, ебр 

. Сехе:00401066 рор ебр 

‚ Сехе:00401067 гегп 

.Еехе:00401067 ма1п епар 


Комментарий к листингу 3.43 


С Проведем идентификацию четырех локальных переменных, определен- 


ных в Функции па1п. Отбросим вначале имена хахг_30 И уаг_40 — это 
обозначения ЛА Рго, и переменными они не являются. Для локальных 
переменных отводится 40 байтов. Это слишком много для пяти перемен- 
ных. Но давайте все по порядку. Итак, уаг_28 очевидно представляет пе- 
ременную ЕЕ, имеющую Тип аочЬ1е. Здесь все ясно, загрузка начального 
значения осуществляется командами +19/Езёр из константы 951 408108. 
Команды 


по\у [ебр+уаг 10], ЗЕЗВ 


пох [ебр+уаг_С],0 


очевидно, загружают в переменную 11 значение 1000 (з;зв). Дизассемб- 
лер не понимает, что это одна 64-битная переменная, и считает их двумя 
разными переменными. уак_1с обозначает переменную 3}. 


Далее — переменная уах_1, она однобайтовая и обозначает переменную 
ьь. Обратите внимание: несмотря на то, что переменная однобайтовая, 
она, по сути, занимает 4 байта, а далее имеются еще четыре свободных 
байта, и только за ними начинается переменная уаг_с. Это так компиля- 
тор выровнял данные по границе 8 байтов. Уже это может насторожить и 
вызвать предположение, что далее идут не две переменные по 4 байта, а 
одна в 8 байтов. 


У нас осталась еще переменная 33. Заметьте, что после вызова функции 
пуЕопс, КоОТОрая имеет тип аочцр1е, стоит команда Езёр [ебр+уаг_ 18], 
т.е. в переменную уах_18 загружается значение из регистра $зт(0). Но 
ТИП ао9Ю1е как раз и возвращается в регистре $т(0), так ЧТО уах_18 И 
есть переменная ъз. 


Итак, все нормально, все переменные найдены, а лишнее резервирование 
оказалось связанным с выравниванием данных. 
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С] Вызывает интерес последовательность команд 


пох а1, [ебр+уаг 1] 


ра$В еах 


"Что же здесь не ясного?" — скажете вы. Ведь переменная-то однобайто- 
вая, а в стек следует отправлять четырехбайтовую величину. Все так, но 
старшие байты регистра кАХ остались неочищенными. И далее все двой- 
ное слово отправляется в стек, как параметр. Очевидно, такое возможно 
при одном условии, если в функции будет строго учитываться, что пара- 
метр — однобайтовый. Кстати, обратите внимание на порядок, в котором 
параметры отправляются в стек. Параметры отправляются справа налево. 
При этом освобождает стек вызывающая функция. Это и есть соглаше- 
ние _ с4ес!| (см. табл. 3.2). Далее в стек отправляются все остальные пе- 
ременные. Переменная 11 (тах_10, хаг_с) отправляется в стек как две 
независимые 4-байтовые переменные. Ну, а переменная ЕЕ, как и должно 
быть, отправляется в стек посредством команды Ез+р. Далее идет вызов 
функции ре1пеЕ, и здесь для нас уже нет ничего необычного. 


Но вот на что я бы обратил ваше внимание. Первым параметром этой 
функции идет форматная строка, в которой указывается спецификация 
остальных параметров функции. Эта спецификация часто помогает нам 
определить тип и размер переменной, тем более, что функций, подобных 
ре1пеЕ, оперирующих форматной строкой, в библиотеке С++ несколько. 


В листинге 3.44 содержится дизассемблированный код функции муЕипс. 





.бехе:00401070 зию 401070 ргос пеаг ; СОБЕ ХВЕЕ: _ма1т+41?р 
.Сехе:00401070 уаг 14 = амога рег -14в 


.бехе:00401070 уаг_С 
.Сехе:00401070 уаг 8 
. Сехе:00401070 ага_0 
.Еехе:00401070 ага_8 Чиога рег 108 
„.Сехё: 00401070 ага_10 = амога рег 188 
‚Сехе:00401070 агч_14 = рубе рёг 1С8 


Ямога рег -оСВ 
Чмога рег -8 


амога рег 8 


.Сехе:00401070 разр ебр 
.Сехе:00401071 ОУ ебр, езр 
.Сехе:00401073 заб езр, ОСЬ 
.Сехе:00401076 Е11а [ерр+ага_8] 
. Сехё:00401079 ааа [ебр+ага_0] 


.сехё:0040107С Е1ааа [ебр+ага_10] 
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.бехе:0040107Е2 ПОУ2Х еах, [ебр+ага_14) 
. Сехе:00401083 поУ [ебр+уаг_С], еах 
.сехё:00401086 11а [ебр+уаг С] 
.Сехе:00401089 Тааар $56 (1), ЗЕ 
.Сехе:0040108В 5% [ебр+уаг_8] 
.Сехе:0040108Е 5иБ езр, 8 

. Сехе: 00401091 ЕзЕр [езр+14р+уаг 14] 
.Сехе:00401094 ра$В оЕЕзеф руфе 408100 
„.Сехе:00401099 са11 _ре1пеЕ 
.Бехе:0040109Е ааа езр, ОСЬ 
.Сехе:004010А1 Е1а [ебр+уаг_8] 
„.Сехе:004010А4 пох езр, ебр 

. Сехе:004010А6 рор ебр 
.Сехе:004010А7 гееп 


.Сехе:004010А7 зар 401070 епар 


Комментарий к листингу 3.44 


С] Начнем с разбора стековых переменных. Их всего две (уаг_14 не в счет): 
уаг_8 И уаг_с. Переменная уах_8 занимает 8 байтов, и это наводит на 
мысль, что это есть не что иное, как переменная з. Это предположение 
подтвердится нами в дальнейшем. Других переменных в функции муЕопс 
не объявлялось и, следовательно, четырехбайтовая переменная уаг_с — 
это просто временная переменная. 


П Теперь обратимся к параметрам. Удивительно, но их всего четыре. То 
есть мы-то знаем, что их четыре, но в функции ма1п ГРА Рго посчитал, 
что имеется пять переменных, которые затем используются в качестве 
параметров. Здесь все просто. В функции па1т у дизассемблера не было 
веских оснований считать, что уаг_10 И уаг_с — это одна переменная, а 
вот в функции муЕопс у дизассемблера есть все основания считать, что 
ага_8 — ЭТО один 8-байтный параметр, т. е. число _ 1164 (см. команду 
2119). 


С Разберем алгоритм вычисления выражения Е + 1 + 3 +ь. Итак, команда 
Е11а загружает длинное целое число (т.е. число 1) в вершину стека со- 
процессора, т. е. зт(0). Следующая команда Еада складывает это число с 
вещественным числом, т.е. Е. Результат при этом помещается в $т(0) и 
трактуется как вещественный. Следующая команда Е1ааа складывает 
вещественное число, хранящееся в $т(0) с целым 32-битным числом 3. 
Результат опять помещается в 5°т(0). Далее команда мпоу2х 
еах, [ебр+ахга_14]} помещает байт в регистр ЕАХ и очищает старшие байты 
регистра. В комментарии к листингу 3.43 это уже обсуждалось. Байт от- 
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правляется в стек в составе двойного слова, при этом вызывающая сто- 
рона не очищает старшие байты, а вот вызываемая процедура это делает. 
Иначе ошибка неминуема. Далее используется временная переменная 
уаг_с, куда помещается число ь (моу [ебр+уаг_С],еах), которая затем 
загружается в регистр зт(0), при этом старое значение зт(0) перемещша- 
ется в 5т(1). Наконец, команда Еааар 5%(1),зЕ и результат вычисления 
Е+:1+) +ь помещается в уаг_8 (переменная з)— команда 5% 
[е5р+уак_8]. При этом стек не выталкивается, и результат по-прежнему 
хранится в $Т(0). Так что последовательность команд 


заю езр, 8 
ЕзЕр [езр+141+Уаг 14] 


помещает этот результат в стек для вывода при помощи функции ре1пеЕ. 
Наконец, последний штрих: +1а [ебр+уаг_8] — это возвращаемое функ- 
цией значение. Конечно, здесь компилятор сделал промашку. Не нужно 
было использовать команду Езер, тогда и последняя команда не понадо- 
билась бы. 


Переполнение буфера 


Переполнение буфера (БийЙег оуегЙо\$) — это один из методов корректировки 
программного обеспечения во время его выполнения. Взломщик путем уме- 
лого ввода данных осуществляет передачу управления внедренному в про- 
грамму коду. Мы будем рассматривать только одну разновидность — ипере- 
полнение стека (%асК оуеШо\5). Переполнение стека наиболее ярко себя 
проявляет в программах, написанных на языке С++, и заключается в про- 
никновении в исполняемый код через стек программы. 


Прием "переполнения стека" осуществляется, в основном, для проведения 
удаленных атак, поскольку если вы пытаетесь проникнуть в программу, ко- 
торая у вас есть на компьютере, то в вашем распоряжении находятся куда 
более мощные средства. С другой стороны, взлом некоторой системы на 
удаленном компьютере предполагает проведение предварительных исследо- 
ваний нужной для вас программы. Именно по этой причине я и поместил 
данный материал в мою книгу, хотя он более относится к рассмотрению 
удаленных атак в сети. 


Суть проблемы 


При работе с внешними устройствами программа выделяет буферы для хра- 
нения полученных и отправляемых данных. При получении данных они 
полностью или частично заполняют выделенные буферы. Программа долж- 
на заботиться о том, чтобы полученные данные не выходили за границы бу- 
фера. В противном случае могут быть повреждены другие данные или даже 
программный код. Так или иначе, выход загружаемых данных за выделен- 
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ные для них границы может привести к частичной или полной неработо- 
способности программы. Особенностью таких ошибок является то, что они 
чрезвычайно трудно выявляются. В некоторых случаях у программиста мо- 
жет создаться впечатление, что ошибки возникают случайно и не связаны с 
какими-либо действиями. Типичным примером переполнения является вы- 
ход за границы массива. 


Многие современные компиляторы обладают возможностью генерировать 
код, способный автоматически проверять, не было ли выхода за границы 
выделенных буферов. Например, в компиляторе М!сгозой С++ существует 
опция /с$, при использовании которой генерируется дополнительный код, 
осуществляющий проверку операций на предмет выхода за границы буфе- 
ров. Правда, проверке подвергаются лишь буферы, определенные в стеке, да 
и то весьма поверхностно, абсолютно не гарантируя попадания данных из 
одного буфера в другой. Суть идеи проверки на переполнение стека заклю- 
чается в том, чтобы по краям выделяемых буферов расположить заранее из- 
вестные байты. После любых операций записи в буфер должна вызываться 
процедура проверки этих байтов. Искажение этих байтов должно означать, 
что произошел выход за пределы буфера, т. е. его переполнение. Разумеется, 
данный подход требует, во-первых, дополнительной памяти, а во-вторых, 
естественно, замедляет работу программы. 


Возникает законный вопрос: как переполнение буфера может быть исполь- 
зовано теми, кто пытается взломать программу или систему? Здесь сущест- 
вует несколько путей проникновения. 


С Если буфер располагается в стеке, то самым очевидным механизмом воз- 
действия извне будет искажение адреса возврата из функции. Адрес воз- 
врата может быть искажен таким образом, что переход будет осуществлен 
на другую функцию или же по адресу, который расположен здесь же в 
стеке, куда вместо обычных данных помещен вредоносный исполняемый 
код. Именно этот способ проникновения мы будем рассматривать далее. 


СО В процессе переполнения могут быть искажены какие-либо указатели 
(указатели на функции, таблица переходов и т. п.) так, что они будут ука- 
зывать на совсем иной код, который станет выполняться согласно пла- 
нам взломщика. 


П В процессе переполнения будут искажены адреса данных так, что сле- 
дующий ввод будет осуществляться совсем в иное место программы, что 
опять позволит взломщику внедрить в исполняемую программу свой код. 


Из сказанного следует, что взлом программного обеспечения по методу пе- 
реполнения буфера осуществляется в два приема: внедрение вредоносной 
программы и передача управления на вредоносную программу. Теоретиче- 
ски первое может и отсутствовать, если нужная для вас процедура является 
частью исследуемой программы. В этом случае вам необходимо лишь в 
нужный момент умело передать управление на эту процедуру. 
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Почему мы рассматриваем именно переполнение стека. Все дело в том, что 
\УМпао\5 защищает код исполняемой программы от записи туда (тема моди- 
фикации кода во время его выполнения была подробно нами освещена в 
разд. 1.6.2), а область данных — от исполнения в ней некоторого кода. 
И только в стеке можно писать и исполнять данные. Причем это свойство 
стека на поверку оказывается универсальным для большинства операцион- 
ных систем. Таким образом, мы можем заполнить стековый буфер испол- 
няемым кодом, а затем заставить процессор исполнить его. 


Пример 


В качестве примера рассмотрим следующую простую программу (лис- 
тинг 3.45). Функция декраззиога осуществляет проверку правильности па- 
роля и в зависимости от этого возвращает Еа1зе ИЛИ + кие. 





й 


Н1пс1оае <з6а1о.Н> 
#1пс1оае <5%&:1па.6> 
1п0е аефбраз5мога (спаг *); 
сраг * раззи="рг1уее"; 
11 ша1п() 
{ 
рг1пЕЕ("Тпрае раззмога:\п"); 
1Е (1 деграззмогА (раз5м) ) ре1п ЕЁ ("Уой аге гед1з+егеа!\п"); 
е1зе рг1пЕЁ("Уоц аге мгопа!\п"); 
геЕатп 0; 


}; 


1016 дебраззмога (саг * $$) 

{ 
сраг $[13]; 
аее$ (5); 
1Е(!5Ехстпр (3,55) ) гебакп 0; 


е1зе гебоагп 1; 


На рис. 3.3 представлена схема стека программы из листинга 3.45. Я взял 
стандартную схему с прологом и эпилогом. Как видите, общая структура 
стека распадается на структуру стека функции мазп и структуру стека 
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функции деекраззмога. Обратите внимание, что адреса уменьшаются снизу 
вверх. Локальная. переменная на рисунке — это, разумеется, переменная 5. 
И хотя размер переменной задан нами в 13 байтов, компилятор выравни- 
вает его по границе в 4 байта, так что наш буфер оказывается равным 
16 байтам. Ввод данных в переменную з осуществляется от меньших адре- 
сов к большим. Таким образом, данные как бы "наползают" на все то, что 
расположено ниже в стеке. Первым опасности подвергается значение ЕБВР. 
А вот следом идет адрес возврата из функции деграззмока. Это и есть на- 
ша вожделенная цель. Если данные выйдут за пределы буфера и изменят 
значение адреса возврата, то возврат будет осуществлен в совсем иное ме- 
сто. "Что это за место?" — спросите вы. И это самый интересный вопрос. 
Мы вполне можем поместить в стек адрес какой-нибудь имеющейся в 
программе функции, так что программа будет выполняться по совершенно 
непредвиденному программистом пути. 


Локальная переменная (строка), 
16 байтов 
Значение ЕВР, 
4 байта 
Адрес возврата в де{раз$\мюога, 
4 байта 


Параметр (указатель), 
4 байта 


Значение ЕВР, 
4 байта 
Адрес возврата из тат, 
4 байта 


Рис. 3.3. Структура стека. 
Адреса уменьшаются снизу вверх 






Структура стека де{разз\мога 





Структура стека тат 





Вот это мы сейчас и постараемся сделать, т. е. изменить адрес возврата из 
функции декраззмога. Для начала надо внимательно изучить дизассембли- 
рованный исполняемый код программы. В листингах 3.46 и 3.47 представ- 
лены дизассемблированные тексты функций па1п И декраззиога соответст- 
венно. 





.техе:00401000 пап ргос пеаг ; СОБЕ ХВЕЕ: $%кагё+16Е?р 
. Сехе:00401000 разв ебр 
‚ Сехе:00401001 оу ебр, езр 
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‚.Сехе:00401003 разр ОЕЕзее аТпроеРаз$мога 
.сехе:00401008 са11 _реапЕ 

. Еехе:00401000 ааа езр, 4 

.Сехе:00401010 оу еах, Змога 409040 
.Сехе:00401015 разв еах 

„.сехе:00401016 са11 зиь 401050 
.Сех®:0040101В ааа езр, 4 

„.Сехе:0040101Е тезе еах, еах 
.Сехе:00401020 902 зВоге 1ос 401031 
.Сехе: 00401022 разБ ОЕЁЕзее ауУоцАгеВеч1з$ег 
.бехе:00401027 са11 _ре1пЕЕ 

.Еехе:0040102С ааа езр, 4 

.Сехе:0040102Е тр ЗВоге 1ос_40103Е 

‚ Сехе:00401031 1ос 401031: ; СОБЕ ХВЕЕ: _па1п+20?) 
. Сехе:00401031 разн ОЕЕзее аУопАгейгопа 

. Сехе:00401036 са11 _ретпеЕ 

.Сехе:0040103В ааа езр, 4 

.Сехе:0040103Е 1ос _40103Е: ; СОББ ХВЕЕР: а1п+2Е?) 
.бехе:0040103Е хог еах, еах 
.Сехе:00401040 рор ебр 

.Сехё:00401041 гееп 

.Еехе:00401041 ма1п епар 


Комментарий к листингу 3.46 


С Начну с вызова функции зо 401050, которая является не чем иным, как 


обозначением функции декраззмога. Последовательность команд 
шоу еах, Чмога 409040 


разн еах 


это отправка в стек указателя на строку, содержашую пароль-образец. 
Глобальная переменная диога_409040 содержит адрес этой строки, т. е. 
является переменной-указателем. Таким образом, в стек вначале отправ- 
ляется параметр, а далее команда са11 помещает туда адрес возврата, т. е. 
0040101В5. 


Далее обратим внимание на команду +езе еах‚, еах и следующую за ней 
команду условного перехода 3п= звогЕ 1ос_401031. Конечно, это обыч- 
ная условная конструкция и команда +ез+ соответствует оператору 1. 
Дальнейшая структура па1п вполне нам знакома. 
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.Сехе:00401050 зар 401050 ргос пеаг ; СОБЕ ХВЕЕ: _ма1п+16?р 
.Сехе: 00401050 уаг_ 10 = руде рёг -108 
.сехе:00401050 ага О = Чмога рег 8. 


.Сехе:00401050 разв ерр 

‚ Сехе: 00401051 пох ебр, езр 

.Сехе: 00401053 5%) езр, 101 

.бехе:00401056 ]еа еах, [ефр+уаг_10] 
.Сехе:00401059 разв еах 

. Еехе:0040105А са11 _деез 

. сехе:0040105Е ааа езр, 4 

.Сехе:00401062 по есх, [ерр+ага_0] 
.Сехе:00401065 разв есх ; сраг * 
.бехЕ;: 00401066 1еа еах, [ерр+уаг_ 10) 
.Сехе:00401069 разй еах ; СВаг * 
. Сехе:0040106А са11 _зЕгстр 

.Сехе:0040106Е ааа езр, 8 

.Сехе: 00401072 сезЕ еах, еах 

‚ Сехе:00401074 702 зроге 1ос_ 40107А 

.Сехе: 00401076 хог еах, еах 

. Сехе: 00401078 Эр зВоге 1ос_ 40107Е 
.Сехе:0040107А 1ос_40107А: ; СОБЕ ХВЕЕ: з9Ъ 401050+24?) 
.Сехе:0040107А пох еах, 1 

.Сехе:0040107Е 1ос_40107Е: ; СОБЕ ХВЕЕ: зар 401050+28?) 
.Сехе:0040107Е пом езр, ебр 

. Сехе:00401081 рор ебр 

. Сехе:00401082 гееп 


‚Сехе:00401082 зо 401050 епар 


Комментарий к листингу 3.47 


С Прежде всего, отмечу тот факт, что на локальные переменные в функции 
отводится 16 байтов. Я уже говорил об этом. Это связано с выравнивани- 
ем всех данных в стеке по 4-байтовой границе. Так что, когда мы станем 
"переполнять" стек, то будем иметь в виду реальный размер этого буфера. 


С Последовательность команд 


1еа еах, [ебр+уаг_10] 


разр еах 


Основные парадигмы анализа исполняемого кода 271 


просто помещает в стек адрес нашего буфера, куда, как предполагается, 
следует поместить вводимый пароль. Вот это и есть ключевой момент. 
Как вы понимаете (см. рис. 3.3), за этим буфером идет содержимое ВР, а 
далее желанный адрес возврата. 


С После вызова библиотечной функции дез вызывается функция сравне- 
ния строк зегстр. Функция получает в стеке адреса двух строк. После 
выполнения функции — обычная условная конструкция (+ез+, а потом 
312). Замечу, кстати, что функция зегспр, как и многие другие строко- 
вые функции, контролирует длину строк только по конечному значению 
0, а, следовательно, переполнение буфера абсолютно не может затронуть 
их работу. 


Итак, после разбора листингов можно приступать к действию. Что, собст- 
венно, мы хотим? Давайте попытаемся изменить адрес возврата, чтобы пе- 
реход по гефхп из ФУНКЦИИ десраззмога происходил на команду ре1пеЕ в 
начале функции па1п. Из листинга 3.46 следует, что адрес перехода равен 
00401003. Вспомним, что в памяти число записывается по принципу 
"старшему байту — старший адрес", и получим, что в буфер следует отпра- 
вить последовательность байтов 03 10 40 00. Но сперва следует заполнить 
16-байтовый буфер, затем еше 4 байта, где лежит значение ЕВР. Поскольку в 
командной строке сложно ввести символы с кодами 101, озв, то лучше ис- 
пользовать следующий прием. Подготовим текстовый файл с нужной стро- 
кой, а затем воспользуемся перенаправлением ввода. Итак, если наша про- 
грамма имеет имя ргор|1.ехе, а текстовый файл — имя разм\4хЬ то следует 
выполнить такую команду: 


рго91 < разм. ЕхЕ 

Для ввода же символов с кодами, меньшими, чем 32, можно использовать 
программу Ше\’.ехе (см. разд. 2.1.3). 

Итак, вот наша строка: 

чачачааачааааааачаая? ?@ 


Ровно 20 байтов (16 байтов — буфер строки и 4 байта — содержимое ЕВР) 
мы заполняем произвольными символами, например, символом а. Далее 
идут символы с кодами озв, 101, 40ъ. "А где же символ с кодом 0?" — спро- 
сите вы. А зачем он нам? Ведь в адресе, который мы меняем, он и так есть, 
и стоит он на том месте, где надо. 


А теперь приготовились! Выполняем команду ргод1 < разм. хе. Вот что мы 
имеем: 

Тпрае раз5мога: 

ТпраЕ ра$5$мога: 


Усй аге \мгопа! 
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Задача решена. Действительно, после выполнения функции деграззмога 
происходит переход по адресу, который мы и указали в буфере. Правда, 
после вывода этих строк появляется окно (рис. 3.4), предупреждающее, 
что возникла критическая ситуация (исключение). Но это должно быть 
понятно. Ведь при втором проходе в буфер попадают совсем другие дан- 
ные, а стек уже испорчен, и приложение не может правильно закончить 
свою работу. 





Рис. 3.4. Сообщение операционной системы М/пдомз 2003 


( Замечание ) 


Конечно, у читателя возникает следующий вопрос: получается так, что мы 
сильно ограничены тем, какие байты отправляем в буфер? Вам не удастся, 
например, отправить в буфер символ с кодом 26 или 0. Замечание справед- 
ливое, но: 


» во-первых, мы ведь рассматриваем частный случай — ввод с помощью кон- 
сольной функции деез. В общем случае буфер может быть предназначен и 
для произвольной двоичной информации, и тогда мы будем абсолютно сво- 
бодны в выборе информации, которую станем отправлять на ввод; 


» во-вторых, информация, которая будет передаваться в буфер, может быть 
закодирована так, что в ней не окажется "опасных" кодов. Но об этом мы 
будем говорить немного ниже. 


Теперь вспомним, что в стеке можно исполнять программу. А что, если в 
стек поместить программный код и передать управление на этот код. Не 
плохо, да? Это в нашей программе буфер составляет всего 16 байтов, а пред- 
ставьте себе, что мы имеем дело с буфером размером 16 Кбайт. Да в такой 
буфер можно поместить программу, которая сделает все, что мы захотим, 
причем от имени программы, которая, возможно, имеет в системе очень 
высокие права. Вот вам лазейка, которой пользуются взломщики уже более 
десяти лет. 
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Ну, да ладно, а что, собственно мы в данном случае можем поместить? Да 
хотя бы следующий код: 

МОУ ЕАХ, 0 

ВЕТМ 


Однако я ошибся, ведь команда веЕТМ уже выполнена для перехода на дан- 
ный фрагмент, так что надо вместо вЕТМ поставить какую-нибудь разновид- 
ность команды омР. 


Если это удастся, то наша программа окажется взломанной, поэтому она 
всегда на нашу строку будет реагировать, что пароль верен. 


Взглянув на листинг 3.46, легко сообразить, что адрес перехода должен быть 
0040101в. Тогда состояние стека будет в полном порядке и не возникнет 
никаких критических ошибок. 

К нашему огорчению последовательность 


МОУ ЕАХ, 0 
ЗМР 0040101В 


не годится для передачи ее в качестве строки, поскольку: 


п первая команда содержит нули; код команды МОУ ЕАХх‚О равен 
в8 00000000: 


С] во второй команде адрес перехода отсчитывается относительно команды, 
следующей за командой лмР. Если адрес начала стека будет изменен, то 
наш фрагмент перестанет работать корректно. 


По этой причине две наших старых команды превращаются в 6 следующих 
команд: 


ХОВ ЕАХ, ЕАХ ;33 С0 

ХОВ ЕСХ, ЕСХ $33 С9 

МОУ СЬ, 40Н ;В1 40 

ЗНЬ ЕСХ, 10Н СТ ЕТ 10 
МОУ СХ, 101ВН ;66 В9 1В 10 
ЧМР ЕСХ ;РЕ Е1 


Справа от команд я указал код этих команд. Для получения правильного 
кода всех команд лучше воспользоваться каким-нибудь отладчиком, напри- 
мер, ОПуОб»?. Итак, мы потратили 15 байтов из 20 возможных (16 байтов, 
отведенных для строки, и 4 байта для хранения ЕВР). Оставшиеся 5 байтов 
могут содержать любую информацию. Идущий же далее адрес возврата дол- 
жен содержать адрес начала буфера. Адрес буфера можно найти из того же 
отладчика, и он оказывается равным 0012ЕЕс8. Нам, таким образом, к стро- 
ке из 20 байтов следует добавить еще три байта: с8 ЕЕ 12. 
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Вот содержание файла раз\хе 


ЗЬ3г-@+с Е; _ сааааа+! _ 


Совет 


Во избежание ошибок заполняйте текстовый файл при помощи программы 
Нем..ехе, а не текстовым редактором. Попытка переноса некоторых символов 
через буфер обмена неизбежно приведет к искажению кода, при этом сам сим- 
вол визуально может остаться тем же. 


Итак, все готово, и выполняем команду 
рго91 < разм. хе 


И, о чудо! 


Уой аге гед1зфегеа! 


Таким образом нам удалось внедрить в программу свой код, заставить про- 
грамму нас зарегистрировать. 


Осталось обсудить еще один вопрос. Как мы видели, есть проблема с набо- 
ром символов, которые можно отправлять программе в качестве строки. Ра- 
зумеется, не всегда ввод осуществляется при помощи консольной процеду- 
ры, избирательно относящейся к некоторым символам. Если мы имеем дело 
с таким вводом, то, следовательно, и проблемы такой нет. 


Однако все-таки вернемся к случаю консольного ввода. Так каково же ре- 
шение проблемы? Ответ прост: надо закодировать последовательность бай- 
тов, чтобы в них отсутствовали соответствующие коды. Я не буду разбирать 
различные способы кодирования. Мне нравится следующий подход, кото- 
рый, однако, может потребовать дополнительной памяти. Суть его заключа- 
ется в следующем. Нужно закодировать все "непроходные" байты (например, 
командой хов). Перед каждым таким байтом должен идти байт, определяю- 
щий, что следующий за ним байт закодирован. Естественно использовать 
для этой цели команду мор, имеющую код 90н. Разумеется, весь фрагмент 
должен начинаться с декодировщика остальной части кода. Декодирование 
сводится к удалению байтов моР и декодировке следующих за ним байтов. 
Поскольку байтов, не воспринимаемых (или нестандартно воспринимаемых) 
функциями консольного ввода, не так уж и много, то количество команд 
МОР не должно быть уж слишком большим. 


На этом я закончу рассказ о переполнении буфера. 


3.2.2. Условные конструкции 
и операторы выбора 


Программируя на языках высокого уровня, таких как С или Разса|, мы уже 
привыкли к использованию полных условных конструкций (1Е...е1зе) и 
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логических связок (апа, ог). Но ведь были времена, когда этого не было. 
Возьмите, например, язык ГКОКТКАМ или ранний Ваяс. Вот тогда на по- 
мошь приходил оператор безусловных переходов (дофо), который так не лю- 
бят ревнители высокого стиля в программировании. Однако машинный 
язык весь построен на операторах переходов условных или безусловных, без 
них невозможно обойтись, если хотите проверить какое-либо условие. 


Простые конструкции 


Рассмотрим простую условную конструкцию (листинг 3.48). 





#1пс1а9е <зЕ91о.Н> 


уо1А та1п() 
{ 
106 а,БЬ; 
зсапЕ ("$4", ба); 
зсапЕ ("%А", &6); 
1ЁЕ(а>=Ъ) 
ретпЕЕ ("а>=Б\п"); 
е15е 
ре1пеЕ ("а<ь\п"}; 


После компилирования в М!сгозой \У1иа| Зи ю и загрузки исполняемого 
модуля в [РА Рго получим листинг 3.49. 





ВО 


.Сехе:00401000 — ма1п ргос пеаг ; СОБЕ ХВЕЕ: $6ахб+16Е?р 
.(ехе:00401000 уаг 8 = амога рег -8 
.бехе:00401000 уаг 4 = @мога рёг -4 


.Сехё:00401000 разв ебр 
.Сехе:00401001 по ебр, езр 
.(ехе:00401003 $аЬ езр, 8 
.Сбехе:00401006 1еа еах, [ебр+уак_4] 

‚ Сехе:00401009 разв еах 
‚Сехе:0040100А разв оЕЁзес ипк 4080ЕС 


.Сехе:0040100Е са11 _зсапЁ 
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„.Сехе: 
.бехе: 
. Сехс: 
.бехе: 
.Сехс: 
.Сехс: 
. Сехе: 
„.сехе: 
.Сехе: 
.Сехес: 
.сехс: 
.Сехс: 
„.Сехс: 
.Сехе: 
. Сехе: 
.Сехе: 
. Сехе: 
.Сехс: 
„.Сехс: 
.Сехе: 
.бехе: 
„.Сехе: 
.Сехс: 
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00401014 
00401017 
0040101А 
0040101В 
00401020 
00401025 
00401028 
00401028 
0040102Е 
00401030 
00401035 
0040103А 
00401032 
00401032 
00401032 
00401044 
00401049 
0040104С 
0040104С 
0040104Е 
00401050 
00401051 
00401051 


Глава 3 


ааа езр, 8 
1еа есх, [ебр+уаг 8] 
ра$В есх 
разв ОЕЁзеЕе ипк 408100 
са11 _зсапЕ 
ааа езр, 8 
пох еах, [ебр+уаг_4] 
ср еах, [ебр+уаг 8] 
31 ЗПогЕ 1ос 401032 
разв оЕЁзее аАВ "а>=Ь\п" 
са11 _реапЕЕ 
ааа езр, 4 
пр 5ПогЕ 10с_40104С 
1ос 40103Е: ; СОБЕ ХВЕЕ: _ма1т+2Е?) 
разв ОЕЁЕзек аАВ_0 ; "а<Б\п" 
са11 _ре1пЕЕ 
ааа езр, 4 
1ос_40104С: ; СОРЕ ХВЕЕ: _па1п+30?3 
хог еах, еах 
ох езр, ебр 
рор ебр 
гееп 
_ма1п епар 


С Обратите внимание, как вызывается функция зсапЕ. Поскольку своим 
аргументом она требует указатель на переменную, поэтому 


1еа еах, (ебр+уаг_4} 


раязп еах 


отправляем указатель на переменную уаг_4 в стек. Аналогично компиля- 
тор Мисгозой поступает и с переменной уах_8. 


(С Второй важный момент — как организуется полная условная конструк- 
ция в исполняемом коде. Схематично это можно представить так: 


31 11 
//а>=Ь 


тр 12 
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11: 
//а<Ьь 


12: 


Как видим, для реализации полной условной конструкции требуется один 
условный и один безусловный переход. Обратите внимание, что команда 
условного перехода соответствует условию, являющемуся отрицанием усло- 
вия в оригинальном тексте программы. Если уберем в программе ветку е15е 
(неполная условная конструкция), то в исполняемом коде просто исчезнет 
команда безусловного перехода (3пр 12). Наконец, если изменить условие с 
а>=Ь На а>ь, ТО В исполняемом коде команда 31 изменится на 31е (меньше 
или равно). В том случае, если в исходной программе используется условие 
“меньше или равно", например, а=<ь, в исполняемом коде применяется 
команда 3д ИЛИ 3де (для условия "меньше”). Тот факт, что вместо прямого 
условия в исполняемом коде проверяется его отрицание, совсем не является 
аксиомой. Возможен и другой подход: 


39е 11 
//а<ь 


Эр 12 
11: 
//а>=Б 


12: 


Как видим, в нем нет ничего аномального. Вы вполне можете встретиться с 
ним при анализе кода, созданного каким-нибудь компилятором. Однако 
подчеркну еще раз, мы не занимаемся декомпиляцией, а стараемся понять 
логику исполняемого кода, и для этого совсем не обязательно точно знать, 
какой программный текст породил данный фрагмент. 


Если переменные в программе — беззнаковые, тогда вместо 31 (31е) ис- 
пользуется 3 (3ъе), а вместо 34 (3де) указывается 3а (3ае). В случае про- 
верки на равенство (==) или неравенство (!=) используется, соответственно, 
117 И }2. 

Отмечу, что в разобранном примере для проверки условия а>ь в исполняе- 
мом коде использовалась команда СМР. Это довольно очевидно. Эта команда 
используется для проверки и других условий: <, <=, >=, ==, !=. Все зависит 
от того, какой условный переход вы затем применяете, другими словами, 
какой флаг (или группу флагов) проверяете. В случае проверки равенства 
(или неравенства) нулю вместо команды СМР чаще используется команда 
ТЕЗТ. Напоминаю, что во многих языках программирования значение Еа1зе 


278 Глава 3 


(ложь) соответствует числовому значению 0, а значение +гое (истина) — 
ненулевому значению (например, 1). Интересно в этой связи рассмотреть 
типичную для языка С++ конструкцию: 


Ясно, что переменной к будет присвоено одно из двух значений: | (если а 
равно ь) и 0 (если а неравно ь). Вот интересующий нас и прокомментиро- 
ванный мной фрагмент исполняемого кода, сформированный компилято- 
ром У15ца1 С++: 

; помещаем переменную а в регистр ЕАХ 

шоу еах, [ебр+уаг 4] 

;вычисляем разность а-Б, при этом сами переменные остаются неизменными 
зи еах, [ебр+уаг_8) 

; смена знака, по сути, нужна для определения, 0 или нет в регистре ЕАХ 
печ еах 

;вычитание с учетом знака 

;если в ЕАХ был не 0, то вычитание даст в ЕАХ -1, 

;в противном случае в ЕАХ будет 0 

$6 еах, еах 

;если в ЕАХ было -1, то в результате команды 1пс 

;будет 0 (Ёа1зе), в противном случае будет 1 (6гае) 

10с еах 

; значение в переменную К 

поу [ебр+уаг С], еах 

;переходим в соответствии с тем, что в регистре ЕАХ 

32 зВоге 1ос_ 401058 


Эр зПпогё 1ос 401065 
1ос_ 401058: 


ос 401065: 


Не правда ли, алгоритм получения значения переменной к весьма примеча- 
телен? Команда смр, как видите, в данном случае не применяется. Обратите 
внимание, что условный переход в данном случае осуществляется в соответ- 
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ствии со значением, которое оказалось в регистре ЕАХ После операции тмс 
ЕАХ. Но в ЕАХ получается либо 0 (Еа15е), либо 1 (ге). 


Отдельно следует остановиться на сравнении вещественных чисел (лис- 
тинг 3.50). 





#1пс1аае <56а1о.5> 


у01А та1п () 
{ 
Чочб1е а,Б; 
зсапЕ ("%ГЕ", 56а}; 
зсапЕ ("%ГЕ", &Ь); 
1Е(а>=Ь) 
реапЕ Е ("%ЬЕ\п", а}; 
е15е 
ри1пЕЕ ("%ЬЕ\п",Ь); 


В листинге 3.50 представлена простая программа, в которой сравниваются 
два вещественных числа типа дозЬ1е. С точки зрения синтаксиса языка, 
разница между аналогичной программой с целыми переменными и данной 
программой минимальна и касается формата функций зсапЕЁ И ре1зпЕЕ. Од- 
нако сравнение вещественных переменных должно кардинально отличаться 
от сравнения целых переменных на уровне исполняемого кода. 


Смотрим листинг 3.51, который предоставляет нам [РА РГго. 





.Гехе:00401000 —мазп ргос пеаг ; СОБЕ ХВЕЕ: $6аг&+16Е?р 
.Сехе:00401000 уаг_ 18 = амога рёг -181 

‚.Сехе:00401000 уаг_ 10 = амога рег -108 

‚Сехе:00401000 уаг_ 8 = амога рег -8 


.бехе:00401000 разв ебр 
‚бехё:00401001 пох ебр, езр 
.Сехе:00401003 [58% езр, 108 
.Сехе:00401006 }еа еах, [ебр+уаг_8] 
.Сехе:00401009 разв еах 
.Сехе:0040100А разр ОЕЕзее ипк_4090ЕС 


‚Сехе:0040100Е са11 _зсапЕ 
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.сехе: 
.Сехе: 
.Сехс: 
. Сехе: 
„.Сехе: 
.бехс: 
. бехе: 
„Сехе: 
.Сехе: 
„.Сехе: 
.Сехе: 
.Сехс: 
„Сехс: 
.Сехс: 
.сехг: 
.Сехе: 
.Сехе: 
.Сехс: 
.Сехё: 
„.Сехс: 
.Сехе: 
.Сехс: 
.Сехё: 
.бехе: 
„.Сехе: 
.Сехе: 
.Сехе: 
„Сехе: 
.Сехе: 
.бехс: 
.Сехе: 
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00401014 
00401017 
0040103А 
00401018 
00401020 
00401025 
00401028 
00401028 
0040102Е 
00401030 
00401033 
00401035 
00401038 
0040103В 
0040103Е 
00401043 
00401048 
0040104В 
0040104р 
00401042 
00401050 
00401053 
00401056 
0040105В 
00401060 
00401063 
00401063 
00401065 
00401067 
00401068 
00401068 
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ааа езр, 8 
1еа есх, [ебр+уаг 10] 
разв есх 
ризй ОЕЕзее ипк_ 409100 
са11 _зсарЕ 
ааа езр, 8 
Е1а [ебр+уак_8] 
Есошр [ебр+уаг_10} 
Епзе$м ах 
сезЕ ав, 1 
902 ЗПогЕ 1ос_ 40104р 
Е1а [ебр+уак_8] 
за езр, 8 
Езер [езр+18п+уаг_18} 
разв оЕЁзее а "ЗБЕ\п" 
са11 _рг1пеЕ 
ааа езр, ОСЬ 
пр зПогЕ 1ос 401063 
1ос_401041: ; СОБЕ ХВЕЕ: _ма1п+33?) 
Е]а [ебр+уаг_ 10] 
зар езр, 8 
ЕзЕр [езр+18П+уах_18] 
ра$зИ ОЕЕзеф аьЕ 0  "ЗЬЕ\п" 
са11 _ргапеЕ 
ааа езр, ОСП 
1ос_ 401063: ; СОРЕ ХВЕЕ: _та11+48В?) 
хог еах, еах 
ОУ езр, ебр 
рор ебр 
гесп 
_ма1о епар 


СО В выделении памяти для стековых переменных для нас уже нет ничего 
нового. Замечу только, что переменные имеют тип адочь1е и поэтому за- 
нимают 8 байтов. Аргументами функций зсапЕ являются не сами пере- 
менные, а указатели на них — отсюда использование команды |еа: 


1еа еах, [ебр+уаг_8) 


ризВ еах 
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Использование двух регистров (ЕАХ, ЕСХ) в качестве временных перемен- 
ных для хранения указателей на переменные для дальнейшей отправки в 
стек, конечно, не несет в себе никакого особого смысла. Вполне можно 
было бы обойтись и одним регистром. 


С Далее с адреса 00401028 начинается действительно интересное. Ведь 
сравнить надо два восьмибайтовых вещественных числа. Итак, вот после- 
довательность команд: 

; загрузить переменную а в 9Т(0) 

Е1а [ебр+уаг_8] 

; сравнить содержимое 5Т(0) с уаг 10 (переменная Ъ) 
Есопр [ебр+уаг 10] 

; сохранить слово состояния (5М) в регистре АХ 
Еп$6$м ах 

; проверить нулевой бит регистра АН 

{езЕ ав, 1 

; перейти, если бит установлен 


907 зВоге 1ос_ 401040 


пр зВогЕ 1ос 401063 
1ос_401041: 


1ос_401063: 


Хотя представленный фрагмент я и прокомментировал прямо в тексте, 
следует сделать еще ряд замечаний. Команда Есотр сравнивает два опе- 
ранда, и результат сравнения отражается на трех флагах: с0, с2, сз, ко- 
торые соответствуют битам 8, 9, 10 в слове состояния 5$и (см. 
разд. 1.2.3). В табл. 3.3 представлены значения флагов для различных 
ситуаций сравнения. 


Таблица 3.3. Значения флагов сравнения 


Проверяемое условие Флаг сз Флаг Сс2 Флаг со 
5Т (0) >5:с 0 0 0 
5Т (0) <5гс 0 0 1 
5Т(0) ==$5гс 1 0 0 
Операнды несравнимы 1 1 1 





282 Глава 3 


Из таблицы следует, что если флаг с0==0, то это как раз соответствует усло- 
вию >=. Отсюда 12 — переход "если не 0" на фрагмент кода для печати со- 
общения, что переменная ь — наибольшая. Некоторые компиляторы ис- 
пользуют другой прием. Они копируют флаги состояния сопроцессора при 
помощи команды 5АнЕ в регистр флагов. При этом флаг со копируется во 
флаг се, флаг с2 в РЕ, флаг сз в 2Е. А далее можно сразу использовать 
команды условных переходов. В данном примере это будет команда 52 
(вместо 242). Хорошо, а как быть, если проверяется строгое неравенство 
а>ь. Согласно табл. 3.3, команда проверки будет ТЕЗТ АХ, 41Н. 


Вложенные конструкции и логические связки 


В реальном программировании внутри условных конструкций могут содер- 
жаться другие условные конструкции (листинг 3.52). Рассмотрим, как вло- 
жение отражается на исполняемом коде. 





//поиск максимального значения из трех чисел 


#1ос1аае <зЕ41о.п> 


\у014А та1п() 
{ 
106 а,Б,с; 
зсапЕ ("3а", &а); 
зсапЕ ("%$а", &6); 
зсапЕ ("%А", &с); 
1Е(а>5) 
{ 
1Е (а>с) ре1пЪ Е ("%А\п", а); 
е1зе рг1пЕЁ ("%А\п", с); 
}е1зе 
{ 
12 (6>с) ре1теЕ ("%А\п",Ь); 
е1зе рке1пЕЕЁ("%А\п", с); 


Оказывается, компилятор строит структуру вложенных условных конструк- 
ций по той же схеме, что мы видели в листинге 3.49. Эта схема представлена 
в листинге 3.5310. 


10 В круглых скобках я указал уровень вложенности. 
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31 11 

// 1Е (1) 

// выполняется а>Ь 
31 14 

И/ ТЕ (2) 


// выполняется а>с 


// выводим значение а 


Эр 12 
14: 
// е1зе (2) 


// не выполняется а>с, но выполняется а> 


// выводим значение с 


12: 

// конец оператора 1Ё первого уровня 
тр 13 

// начало оператора е1зе первого уровня 
11: 

// е1зе (1) 

// не выполняется а>Ь 

31 15 

ИИ ТЕ (2) 

// выполняется Ь>с и не выполняется а> 


// выводим значение Ь 


Эпр 33 
15: 
// е1зе (2) 


// не выполняется Ю>с и не выполняется а>ь 


// выводим значение с 


13: 


//конец вложенной конструкции 


Внимательно рассмотрим схему из листинга 3.53. Мы видим, что она четко 
проецируется на схему в исходной программе (листинг 3.52). Причем любая 
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полная условная конструкция легко преобразуется в неполную условную 
конструкцию просто отбрасыванием соответствующей команды безуслов- 
ного перехода \пр. 


В современных языках программирования вместо большого количества вло- 
женных друг в друга условных конструкций используются логические связ- 
КИ: апа И ог, При Помощи которых образуются составные условия. В реаль- 
ном программировании такие составные условия могут оказаться очень 
сложными. В замечательной книге "Фундаментальные основы хакерства“ 
Криса Касперски!! для анализа исполняемого кода, получившегося из 
сложных условных конструкций, предлагается использовать диаграммную 
технику. Такой подход действительно может помочь восстановить исходную 
сложную условную конструкцию. На мой взгляд, однако, для того чтобы 
понять заложенные в исполняемом коде условия, не всегда требуется вос- 
становить исходный код. Ведь, согласитесь же, что авторы программ ис- 
пользуют логические связки не столько для лучшего понимания их про- 
граммы, сколько для сокращения записи. А краткость записи скорее 
усложняет чтение, нежели улучшает понимание. Кроме этого, многие про- 
граммисты наряду с использованием логических связок применяют и вло- 
женные условные конструкции, что ставит под вопрос попытку восстано- 
вить истинную условную конструкцию. 


Рассмотрим следующий пример (листинг 3.54). 





& 


Ех 
Е. 


.Кехе:00401000 пап ргос пеак ; СОБЕ ХВЕЕ: $$ах&+16Е?р 
. Сехе:00401000 уаг С = амога рёг -0СВ 

. Сехе:00401000 уаг_ 8 = амога рёг -8 

.Сехё:00401000 уаг 4 = амога рёг -4 


.Сехе:00401000 рай ерр 
.Сехе:00401001 пох ебр, езр 
.Бехе:00401003 за езр, ОСП 

.Сехе: 00401006 ]еа еах, [еюр+уаг 4] 

. Сехе:00401009 разв еах 

. Сехе:0040100А ризь оЕЕзее ипк 4080ЕС 
.Кехе:0040100Е са11 _зсапЕ 
.Сехе:00401014 ааа езр, 8 
.бехе:00401017 Зеа есх, [ебр+уаг 8) 
.Сехе:0040101А разв есх 
.Сехё:0040101В ризВ оЕЕзее ипк 408100 


|! Касперски Крис. Фундаментальные основы хакерства. — М.: СОЛОН-Пресс, 2004. 
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.Кехе:00401020 са1} 
.бехе:00401025 ааа 
.Сехе: 00401028 1еа 

. Сехе:0040102В разв 

. Сехё:0040102С разв 
.Сехе: 00401031 са11 

‚ Сехе:00401036 ааа 
.Сехе:00401039 оу 
.Кехе:0040103С стр 
.Сехе:0040103Е 73е 
.Кехе:00401041 ср 

‚ Сехе:00401045 27а 
.СехЕ:00401047 1ос 401047: 
.Сехе:00401047 по 
.бехе:0040104А спр 

‚ Сехе: 0040104р 72 

. Сехе:0040104Е стр 
.Сехе:00401053 902 
.СехЕ:00401055 1ос 401055: 
.Сехе:00401055 разИ 

. Сех®:0040105А са11 
.Сехе:0040105Е ааа 

‚ Сехе:00401062 пр 
.Сехе:00401064 1ос 401064: 
.Сехе:00401064 разИ 
.Сех®:00401069 са11 
.Сехе:0040106Е ааа 
.СехЕ:00401071 1ос 401071: 
.Сехе:00401071 хог 
‚СехЕ:00401073 оу 

. Сехе:00401075 рор 
.Сехе:00401076 гетп 


_зсарЕЁ 
езр, 8 
еах, [ебр+уагк_С] 
еах 
ОЕЁЕзеЕ ипк 408104 
_зсапЕ 
езр, 8 
еах, [ебр+уаг 4] 
еах, [ебр+уаг_8] 
эпохе 1ос_ 401047 
[ебр+уаг_8], 0 
зВогЕ 1ос 401055 
; СОРЕ ХВЕЕ: _па1т+3Е?) 
есх, [ебр+уаг_4] 
есх, [ебр+уаг С] 
зроге 10с 401055 
[еюр+уаг_С], 0 
зроге 1ос_ 401064 
; СОБЕ ХВЕЕ: _та11+45?) 
ОЕЁзее а\ез ; "Уез! \п" 
_ре1пЕЕ 
езр, 4 
зрогЕ 1ос_ 401071 
; СОБЕ ХВЕЕ: _па1п+53?) 
ОЕЁзее аМ№ $ "Мо! \р" 
_ре1пеЕ 
езр, 4 
; СОРЕ ХВЕЕ: па1п+62?) 
еах, еах 
езр, ебр 
ебр 


.Сехе:00401076 пап епар 


Комментарий к листингу 3.54 
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Конечно, мы достаточно много уже видели подобных листингов и легко 
различим, что в нем используются три стековые переменные целого типа 
(зарезервировано 12 байтов и используются три однотипные переменные). 
Ввод значений с помощью библиотечной функции зсапЕ для нас тоже не в 
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новинку. Для нас интересны условные переходы. Прежде всего, давайте по- 
смотрим на код, как говорится, с высоты птичьего полета. И что же оттуда 
видно? Да прежде всего то, что все условные переходы сводятся к двум ре- 
зультатам: печать при помощи функции рхк1оеЕ строки "уУез" (адрес 
00401055) или строки "Мо" (адрес 00401064). А, следовательно, очень похо- 
же на то, что мы имеем дело с полной условной конструкцией (1Е...е1зе). 
Теперь просто соберем все условия, приводящие к первому и второму ре- 
зультату. Итак, на адрес 00401055 осуществляется переход, если 
Уаг_4>уаг 8 И уаг _8>0. Это условие явно претендует на условие типа 
а>5&&5>0, назовем его условием (1). Поскольку тот же результат получается 
и при выполнении других условий, но не выполнении условия (1), то мож- 
но предположить, что речь идет о связке "ИЛИ", впрочем, для понимания 
это учитывать совсем не обязательно. Итак, тот же результат получается, 
если выполняется условие уахг_4=уаг_Сс. Это будет условие (2). Наконец, 
опять тот же результат получается, если выполняется условие уаг_с=0. Это 
будет условие (3). Во всех остальных случаях выполняется фрагмент, начи- 
нающийся с адреса 00401064. После наших рассуждений мы вполне можем 
записать условную конструкцию при помощи связок "И" и "ИЛИ". Однако 
понимания нам это совсем не прибавит, поскольку мы уже разобрались в 
логике функционирования данного фрагмента. 


Итак, какой же вывод можно сделать из проведенных только что рассужде- 
ний? Вывод следующий: условия, связанные друг с другом при Помощи 
логического "И", достаточно легко распознаются. Рассматривая их как еди- 
ное условие, можно легко понять логику и других условий (связанных с 
первым при помощи логического "ИЛИ"). 


Условные конструкции без переходов 


Надо сказать, что условные и безусловные переходы сбрасывают очередь 
команд, что в конечном итоге замедляет выполнение программы. Имейте 
это в виду, когда пишете программу на ассемблере. В тех случаях, когда 
можно обойтись без переходов, следует обходиться без них. Для этой цели 
можно использовать наборы команд $ЕТсс г/м (условная установка первого 
бита) и смоух (условная пересылка данных). Эти команды вы можете найти 
в табл. 1.1. Оказывается, об этом "знают" и продвинутые компиляторы, к 
которым, в частности, относится компилятор \У150а| С++. К сожалению, все 
мои старания заставить его использовать какую-либо из команд условной 
пересылки не увенчалась успехом, тогда как командами условной установки 
битов, как оказалось, он пользуется довольно часто. 


Идея использования команд условной установки первого бита байта до три- 
виальности проста. Пусть некоторый регистр, например, ЕАх, вначале со- 
держит значение 0. Далее после команды сравнения смт мы используем од- 
ну из команд условной установки бита, например, зЕТЬЕ — установить, если 
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меньше. После этого выполним команду рЕС ЕАХ. Теперь в случае выполне- 
ния условия ЕАХ содержит 0, а в противном случае — —1 (ЕЕЕЕЕЕЕЕН). Далее 
используем тот факт, что если операнд равен нулю, то воздействие на него 
инструкции апа с любым вторым операндом не изменит его содержимое. 
Рассмотрим, к примеру, следующий фрагмент: 


.Сехе:00401013 хог еах, еах 

‚ Сехе:00401015 стр еЯх, ОАП 

. Сехе:00401018 5еЕ1е а1 

‚ Сехе:00401018В дес еах 

‚ Сехе:0040101С апа еах, ОКЕЕЕЕ2008 
.Бехе:00401021 ааа еах, 10008 


Легко видеть, что в случае выполнения условия (Ерх<=0) в регистре ЕАХ по- 
сле выполнения действия будет содержаться значение 1000н, а в случае не- 
выполнения условия — значение 200н. На самом деле я привел исполняе- 
мый код, который эквивалентен оператору 


1Е(а>10) ю=0х200; 
е]1зе Ь=0х1000; 


и который создает компилятор М1сгозой при условии, что мы установим 
опцию "создавать быстрый код". 


Операторы выбора 


Большое количество неполных условных операторов, расположенных друг 
за другом, принято заменять оператором выбора. В листинге 3.55 приведен 
типичный пример использования оператора выбора. Посмотрим, что ком- 
пилятор М!сгозой сделает с данным текстом (листинг 3.56). 





#1пс]аае <эЕЧ1о.Н> 


уо1А та1т () 
{ 
сраг а; 
зсапЕ ("%с", ба); 
зм1Е СВ (а) 
{ 
сазе „'А': 
реп ("А\п"); 


Ьгеак; 
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сазе 'В': 
реп Е ("В\п"); 
ргеаКк; 

Чегао1%: 
рези Е ("?\п"); 





.СехЕ:00401000 — ма1т ргос пеаг ; СОБЕ ХВЕЕ: з6агё+16Е?р 
. Сехе:00401000 уаг_8 = руке рег -8 
.Сехе:00401000 уаг 1 = руе рёг -1 


.Сехё:00401000 разв ебр 

.Сехе:00401001 оу ерр, езр 
.Сехе:00401003 51) езр, 8 
.Еехе:00401006 1еа еах, [ебр-1] 
„Сехе:00401009 разв еах 

. Сехе:0040100А разв ОЕЁзес ипк 4080ЕС 
. Сехё:0040100Е са1} _зсапЕ 

‚. Сехе:00401014 ааа езр, 8 
.Бехе:00401017 оу с], [ебр+уаг 1] 
.Сехе:0040101А пох [ебр+уаг_8], с1 
.СехЕе:00401010 спр [еюр+уах_8], 418 

. Сехе:00401021 32 зВогЕ 1ос_40102В 
.Сехе:00401023 стр [ерр+уаг_8], 428 

. Сехф:00401027 32 зПоге 1ос 40103А 
.„Сехе:00401029 пр зВоге 1ос_ 401049 
.Сехе:0040102В 1ос 401028: ; СОБЕ ХВЕЕ: _ма11п+21?) 
.Сехе:0040102В ризй ОЕЁзеё руке 408100 
.Сехе:00401030 са11 _ре1пЕЕ 
.Сехе:00401035 ада езр, 4 

. Сех®:00401038 пр зПоге 1ос 401056 
.бехе:0040103А 1ос 40103А: ; СОБЕ ХВЕЕ: па11+27?) 
. Сехе:0040103А рузй ОЕЁзеф ипк 408104 
. Сехе:0040103Е са1} _реапеЕ 
.Бехе:00401044 ааа езр, 4 

. Сехё:00401047 пр зВоге 1ос 401056 


.Сехе:00401049 1ос 401049: ; СОРЕ ХВЕЕ: _па1п+29?3 
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‚ Сехе: 00401049 разй ОЕЕзефк ипк 408108 

. Сехе:0040104Е са11 _ре1пЕ 

.Еехе:00401053 ааа езр, 4 

.Сех®е:00401056 1ос 401056: ; СОБЕ ХВЕЕ: _па1п+38?)3 
‚Сехё:00401056 ; па11+47?3 

.Сехе:00401056 хог еах, еах 

.Сехе:00401058 поу езр, еюр 

.СехЕ:0040105А рор ебр 

. Сехе:0040105В гесп 


.Кехе:0040105В па1п епар 


Комментарий к листингу 3.56 


С Код интересен, прежде всего, некоторой избыточностью. В процедуре 
па1п определены две стековые переменные. Переменная уахг_1, судя по 
использованию ее с функцией зсапЕ, предназначена для хранения реаль- 
но определенной в тексте программы переменной а (листинг 3.55). Пе- 
ременная уахг_8 является вспомогательной, временной переменной. Она 
используется для сравнения в командах типа спр [еьр+уах_8],42ъ. Со- 
гласитесь, что вполне можно было бы обойтись и одной переменной 
уах_1. Кстати, обратите внимание, что две однобайтовые переменные 
хранятся в соседних четырехбайтовых блоках. Это диктуется требованием 
выравнивания по границе 4 байта. 


С) Схема проверки условий довольно-таки тяжеловесна. Эта тяжеловесность 
связана с тем, что осуществляется проверка именно выполнения условия. 
Согласитесь, что более изящной была бы следующая схема: 


сир [ебр+уаг 8], 411 


202 11 
Эр _хгеаКк 
31: 
спр [ебр+уаг 8], 428 
902 12 
Эр _ргеаКк 
12: 
//ЗеЕао1+ 


_Югеак: 
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Наконец, вы можете встретиться и с подходом, представленным в листин- 
ге 3.57. В частности, именно так обрабатывает оператор выбора компилятор 
Во|апа С++ 5.0, а также Рерш. Компилятор М!сгозой С++ ведет себя по- 
добным образом, если установить опцию "создавать быстрый код". 





поу @1, [ебр+уаг 1] 
зар 91, 415 


72 11 
дес &1 
32 12 
Эр 13 
11: 
Эпир 13 
12: 
13: 


Из листинга 3.57 легко можно понять принцип подхода. Параметр операто- 
ра зи1есн Помещается в некоторую временную переменную, которая, в ча- 
стности, может оказаться и регистром. Пусть значения, на равенство кото- 
рым будет проверяться переменная, равны, соответственно, а1, а2, ..., ап (В 
порядке возрастания). Проверка осуществляется следующим образом. Вна- 
чале от временной переменной отнимается а1 и проверяется, не равно ли 
после этого значение переменной 0. Далее из переменной будут отниматься 
значения а2-а1, а3З-а2 и т. д. После каждого такого отнимания проверяется, 
не равна ли переменная нулю. Особенно эффективно данный подход рабо- 
тает, если все разности а2-а1, аЗ-а2 и т. д. равны единице. В этом случае 
удобно использовать команду процессора дес. 


3.2.3. Циклы 


Циклический алгоритм в действительности является разновидностью ветвле- 
ния, в котором, в зависимости от условия, осуществляется многократное вы- 
полнение некоторого фрагмента программы. Если говорить об ассемблере, то 
в цикле предполагается условный или безусловный переход назад, к инструк- 
циям с меньшими адресами. Современные дизассемблеры и отладчики отсле- 
живают такие переходы и отмечают их в дизассемблированном тексте. 
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Простые циклы 


Рассмотрим возможные варианты построения циклов на языке ассемблера 
(листинг 3.58). Это позволит нам легко разобраться в том, как с циклами 
обращаются современные компиляторы. 





; довольно часто здесь стоит ФМР 11 
_ред: 


‚здесь, в частности, могут стоять команды изменения параметра цикла 


СМР ЕАХ,ЕВХ ; или проверка какого-либо другого условия 


р епа ; или любой другой условный переход за границы цикла 


;здесь начинается тело 
1: 


... ;‚ тело цикла — произвольное количество команд 


Комментарий к листингу 3.58 


В листинге 3.58 можно видеть типичную структуру цикла, с которой вы 
встретитесь при изучении кода, созданного самыми различными компиля- 
торами. Обратите внимание на возможное наличие перехода на начало тела 
цикла (МР 11). Дело в том, что если такой переход имеется, то тело цикла 
выполнится, по крайней мере, один раз. Это соответствует идеологии цикла 
"до" (такой цикл называют еще циклом с постусловием). Если же переход в 
тело цикла отсутствует, то в общем случае тело может и не выполниться ни 
разу. Это соответствует идеологии цикла "пока" (такой цикл называют еше 
циклом с предусловием). 


Теперь рассмотрим листинг 3.59. 





_феад: 


;‚ начало тела цикла 
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СМР ЕАХ,ЕВХ ; или проверка какого-либо другого условия 


94& _Ъед ; или любой другой условный переход на начало цикла 


Комментарий к листингу 3.59 


В данном случае мы имеем типичный пример цикла "до". Однако было бы 
ошибочно считать, что тип цикла в языке высокого уровня будет автомати- 
чески соответствовать типу цикла в исполняемом коде. Мы уже неодно- 
кратно убеждались в том, что компиляторы не просто тупо переводят опера- 
торы языка высокого уровня в машинные инструкции, а творчески (иногда 
слово творчески следовало бы ставить в кавычки) переосмысливают их. По- 
этому если вы в своей программе используете цикл "пока", но соотношение 
значений переменных заведомо таково, что цикл исполнится, по крайней 
мере, один раз, то компилятор запросто может использовать в машинном 
варианте цикл "до". 


Что касается ЦИКЛОВ Еог, Которые имеются в основных алгоритмических 
языках, то это есть лишь разновидность цикла с предусловием. Просто в 
формировании условия участвует один или несколько параметров. Парамет- 
ры же таких циклов при проходе тела цикла (или перед очередным прохо- 
дом) получают некоторое неизменное приращение, знак которого может 
быть и положительным, и отрицательным. Наличие переменной, которая 
при каждом проходе получает некоторое постоянное положительное или 
отрицательное приращение, является важным признаком того, что мы име- 
ем дело с циклом Гог. 


После такого введения естественно перейти к конкретным примерам, что 
мы сейчас и сделаем. 


Листинг 3.60 содержит простейший пример использования цикла Еог. 





#1пс1а4е <зЕА1ло.н> 


У01А таз () 
{ 
176 Ю=10; 
Рог (106 1=0; 1<100; 1++) 
ре1пЕЁ("%а\п",Ь); 


Посмотрим, что же будет в исполняемом коде, который создаст компилятор 
\У!5иа! С++, при условии отсутствия оптимизации (листинг 3.61). 
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.СехЕ:00401000 пап ргос пеаг ; СОБЕ ХВЕЕР: $$агЕ+16Е?р 
. Сехе:00401000 уаг 8 = @мога рег -8 
. Сехё:00401000 уаг_ 4 = @мога рег -4 


. Сехе:00401000 разв ебр 

.Еехе:00401001 оу ебр, езр 

.Сехе:00401003 5аЬ езр, 8 

.Сехе:00401006 поУ [ебр+уаг_4], ОАВ 
.Сехе:00401000 пот [ебр+уаг_8], 0 

. Еехе:00401014 )пр зВоге 10с_40101Е 

. Сехе:00401016 1ос 401016: ; СОБЕ ХВЕЕ: _пма1п+36?3 
„.Еехф:00401016 ПОХ еах, [ебр+уаг 8] 
.Еехе:00401019 ааа еах, 1 

.Еехе:0040101С пом [ебр+Уаг_ 8], еах 
.Сехе:0040101Е 1ос_40101Е: ; СОБЕ ХВЕЕ: па1п+14?) 
.СехЕе:0040101Е стр [ебр+Уаг_8], 648 

. Сехе:00401023 3ае зВоге 1ос 401038 

. Сехе:00401025 ОУ есх, [ебр+уаг 4] 

. Сехе:00401028 разв есх 

.бехЕ:00401029 разв ОЕЁЕзеф ипк 4060ЕС 

. Сехе:0040102Е са11 _ре1пеЕ 

.Сехе:00401033 ааа езр, 8 

. Сехе:00401036 )пр зВогЕ 1ос 401016 

. Сехе:00401038 1ос 401038: ; СОБЕ ХВЕЕ: _ма1п+23?) 
.Сехе:00401038 хог еах, еах 

. Еехе:0040103А пом езр, ебр 

. Сехе:0040103С рор ебр 

.Еехе:00401030 гесп 


. Сехе:00401030 палп епар 


Комментарий к листингу 3.61 


С Прежде всего, обрашаю ваше внимание на локальные переменные. 
Уаг_ 4 — это, очевидно, переменная Ь. А вот переменная уаг_8 есть не 
что иное, как параметр цикла. Также обрашаю ваше внимание на знако- 
вые команды 
оу еах, [ебр+уаг 8] 
ааа еах,1 
шоу [ебр+уаг 8], еах 


Они бросаются В глаза и являются очевидным признаком цикла Гог. 


294 Глава 3 


С Листинг 3.61 как раз соответствует схеме из листинга 3.58. Переход же 
)пр зВогЕ 1ос_40101Е отражает тот факт, что начальное значение пара- 
метра цикла должно быть равно 0, а условие выхода из цикла — равенст- 
во этого параметра 100. Разумеется, если бы мы писали подобный алго- 
ритм на ассемблере, то могли бы просто обойтись без этого перехода, 
присвоив начальное значение параметру цикла —1. 


Глядя на листинг 3.61, мы понимаем, что перед нами цикл "пока". Однако 
посмотрите, что выйдет, если сообщить компилятору, что мы желаем полу- 
чить компактный исполняемый код (листинг 3.62). 





.Сехе:00401000 пап ргос пеаг ; СОБЕ ХВЕЕ: $$аг&+16Е?р 
‚ Сехе:00401000 разв ез1 

‚ Еехе:00401001 разв 64В 

. Еехе:00401003 рор ез1 

. Сехе:00401004 1ос_ 401004: ; СОБЕ ХВЕЕ: па1п+13?) 
„.Сехе:00401004 разв ОАВ 

. Сехе:00401006 ри5В ОЕЕзее ипк 4060ЕС 

. Сехе:0040100В са11 _ре1апеЕЕ 

. Сехе: 00401010 аес е51 

.СехЕ:00401011 рор есх 

. Еехе:00401012 рор есх 

.Сехе:00401013 917 ЗВогЕ 10с_401004 

.Сехе:00401015 хог еах, еах 

.сехе: 00401017 рор ез1 

‚ Сехе: 00401018 гесп 


. Сехе:00401018 пап епар 


Посмотрите на листинг 3.61 — перед нами типичный пример цикла "до". 
Обратите внимание, что роль параметра цикла играет регистр ЕЗт. Причем 
вместо того чтобы увеличивать параметр, он уменышает его так, чтобы ис- 
пользовать условие сравнения с 0. Это типичный прием, который применя- 
ет компилятор У\У15иа| С++: превратить цикл "пока" в цикл "до". При этом 
инкремент параметра цикла заменяется декрементом. Интересно, что если 
заменить цикл Еог на ЦИКЛ мп11е ИЛИ ЦИКЛ а40...мЪ11е и сохранить опцию 
оптимизации "создавать компактный код", то мы опять придем в точности к 
листингу 3.62. 


Разберем теперь листинг 3.63. 


Основные парадигмы анализа исполняемого кода 295 





.сехе:00401108 —палп ргос пеаг ; ОАТА ХВЕЕ: .Чака:0040А0В8?о 
. Сехе:00401108 агас 
.Сехе:00401108 агау 
.Сехе:00401108 епур 


Чмога рег 8 
Чмога рёг ОСЬ 
мот рег 108 


И 


.Сехе: 00401108 ра5В ебр 

. Сехе:00401109 оу еьр, езр 

‚ Еехе:0040110В разв ебх 

.Сехе:0040110С разь ез1 

. Сехе:00401100 МФА е51, ОАБ 

.Сехе:00401112 хог ебх, ебх 

.Сехе:00401114 1ос 401114: ; СОБЕ ХВЕЕ: _пма1п+1Е?) 
.Еехе:00401114 разн е$1 

.Сехе:00401115 разв ОЕЁЕзее Еогтае ; Еогтае 
. сехе:0040111А са11 _рг1пеЕ 

„Еехе:0040111Е ааа езр, 8 

.Сехе: 00401122 пс еьх 

.Еехе:00401123 стр ебх, 64 

. ехе:00401126 31 ЗВогЕ 10с_401114 
.Еехе:00401128 рор ез1 

. Сехе:00401129 рор еьх 

‚ Сехе:0040112А рор ебр 

. Сехе:00401128В гееп 


.Сехс:0040112В па1п епар 


Интересно, что ту же программу компилятор ВоЙапа С++ 5.0 трактует не- 
сколько иначе: цикл с предусловием преобразуется к циклу с постусловием, 
но инкремент параметра цикла остается. Кроме того, заметим, что компиля- 
тор М1сгозой более аккуратно работает с регистрами — используется всего 
один регистр (Езт), требующий сохранения в стеке. 


Об оптимизации циклов 


Собственно, об одном из видов оптимизации мы уже говорили: преобразо- 
вание цикла с предусловием в цикл с постусловием. Кроме этого, мы виде- 
ли, что компилятор Мсгозой может заменить инкремент параметра цикла 
его декрементом, так что условием выхода из цикла будет его равенство ну- 
лю. Но есть и более действенные способы оптимизации циклов, используе- 
мые продвинутыми компиляторами. Мы разберем два из них. 
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Вычисление на стадии компиляции 


Довольно часто программист не замечает, что результат, который получается 
при выполнении циклического алгоритма, и так очевиден. Часто компиля- 
торы, к каковым относится и компилятор У\У1зиа1 С++, распознают такие си- 
туации и заменяют циклические алгоритмы готовыми результатами. Рас- 
смотрим следующий пример (листинг 3.64). 





#10с1о4ае <зЕа1о.в> 
$701 та1п() 
{ 
1пЕ 1=0,з=0,К=5; 
Бог (1=0; 1<К; 1++)3=$+1; 


ретпеЕ ("%А\п", $); 


В принципе, совсем не трудно сосчитать, каковой будет сумма з в результа- 
те вычисления. Она будет равна 10. Компилятор У!5иа! С++ легко справля- 
ется с этой задачей. Посмотрите, что получается в результате компиляции с 
опцией "создавать быстрый код" (листинг 3.65). 





.Еехё:00401000 пап ргос пеаг ; СОБЕ ХВЕЕ: 56аг+16Е?р 
.Еехе:00401000 ра$В ОАВ 

. Сехе:00401002 ра5П ОЕЕзее ипк 4060ЕС 

. Сехе:00401007 са11 _ре1пеЕ 

.Сехе:0040100С ааа езр, 8 

. Сехе:0040100Е хог еах, еах 

. СехЕ:00401011 гееп 


.Сехе:00401011 та1п епар 


В листинге 3.65 никакого цикла нет и в помине. Лишнее подтверждение 
того, что процесс компиляции в общем случае не обратим, но к пониманию 
логики программы это не имеет отношения. 


Разворачивание циклов 


Разворачивание циклов — это прием, основанный на принципах оптимизации 
обращения к памяти. 
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В листинге 3.66 представлена программа, где используется массив а. Отком- 
пилируем ее с помощью компилятора У15иа! С++, указав опцию "создавать 
быстрый код". Результат дизассемблирования исполняемого кода представ- 
лен в листинге 3.67. 





#1пс1оаае <зЕао.В> 


Уо1А талп() 
{ 
11 а[100]; 
1пЕ 1=0, 3=0; 
ог (1=0; 1<100; 1++}а[1]=1; 
Рог (1=0; 1<100; 1++) $+=а[1]; 


ре1пЕЕ ("За\п", з); 





.Еехе:00401000 —па1п ргос пеак ; СОБЕ ХВЕЕ: зфаге+16Е?р 


. ЕехЕ:00401000 уаг 194 
.Сехё: 00401000 уаг_ 190 
. Сехе:00401000 уаг_18С 
.Еехо:00401000 уаг 188 
.Сехе:00401000 уаг 184 
.бехЕ: 00401000 уаг 180 


Чмога рег -1946 
Чмога рег -1908 
Чмога рег -18СВ 
Чмога рег -188В 
Чмога рег -1846 
Чмога рег -1808 


.Еехе:00401000 за езр, 1908 

.бехе:00401006 хог есх, есх 

.Еехе:00401008 хог еах, еах 

„.Еехе:0040100А ]еа ебх, [еЪх+0] 

.Сехе:00401010 1ос 401010: ; СОРЕ ХВЕЕ: _та1п+17?3 
.Еехе:00401010 ПоУ [езр+еах*4+1901+уаг_ 190], еах 
.Еехё:00401013 пс еах 

.сехЕ:00401014 спр еах, 648 

. Сехе:00401017 31 зВоге 10с_ 401010 
.Еехе:00401019 хог еах, еах 

.Еехе:0040101В разв ез1 

„.Еехе:0040101С ]1еа езр, [езр+0] 

.Кехё:00401020 1ос 401020: ; СОРЕ ХВЕЕР: а1п+3Е?) 


.Сехе:00401020 МФА е51, [езр+еах*4+194П+уаг 184] 
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.бехе:00401024 пох еЧх, [езр+еах*4+1941+уаг 180] 
.Сехе:00401028 ада еЧх, ез1 

.Еехе:0040102А ааа е@х, [езр+еах*4+194П+уаг 188] 
.сехе:0040102Е ааа е@х, [езр+еах*4+194П+уаг_18С] 
.Сехе:00401032 ааа еах, [езр+еах*4+194В+уУаг 190] 
. Сехе:00401036 ааа еах, 5 

.Сехе:00401039 ааа есх, еах 

.Еехе:0040103В спр еах, 648 

‚ Сехе:0040103Е 91 эВоге 1ос_401020 
.Сехе:00401040 разв есх 

. Сехе:00401041 раз ОЕЁЕзеф ипк 4060ЕС 
.Сехе:00401046 са11 _ре1пЕЕ 

.СехЕ:0040104В ааа езр, 8 

.Еехе:0040104Е хог еах, еах 

.Еехе:00401050 “рор е51 

.СехЕ: 00401051 ааа езр, 1908 

.Сехе:00401057 гееп 

.Еехе:00401057 па1п епар 


Комментарий к листингу 3.67 


О Для локального массива отводится 1905 байтов, что как раз равно 400, 
т. е. по 4 байта на каждый элемент. 


С Сразу обрашу ваше внимание на две команды: 1еа еьх, [еъх] И 1еа 


езр, [езр]. Разумеется, обе команды не меняют содержимое регистров 
и помещены компилятором для оптимизации скорости выполнения. 
Ранее мы уже говорили о таком приеме оптимизации, как спаривание 
команд (см. комментарий к листингу 3.2). В данном случае компилятор 
добавляет ничего не значащие команды для правильного разбиения 
команд по парам. 


Цикл, в котором задаются значения элементов массива, достаточно 
прост. Он располагается в листинге по адресам 00401010—00401017. Об- 
ратим внимание, что адресация локальных переменных в стеке осуществ- 
ляется не посредством регистра ЕВР, который здесь из целей оптимиза- 
ции вообще не используется, а посредством регистра Ез$Р. Регистр ЕАХ 
играет роль переменной 1 (пример использования регистровой перемен- 
ной). Замечу, что в данном цикле компилятор не использует прием заме- 
ны инкремента параметра цикла на декремент, о котором мы говорили 
ранее. Это связано просто с тем, что параметр цикла играет также и роль 
индекса в массиве. 
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С Обратимся теперь к циклу, располагающемуся по адресам 00401020— 
0040103Е, назначение которого — просуммировать все элементы массива. 
Сумма должна накапливаться в переменной з (см. листинг 3.66). Легко 
видеть, что роль переменной з играет регистр ЕСх (это видно хотя бы по 
вызову к функции рк1пЕЕ). Очень важная деталь: перед циклом стоит 
команда РОЗН ЕЗТ. Причина понятна — ведь Езт используется далее как 
временная переменная, а этот регистр не должен измениться после вы- 
полнения функции пазп. Но не забывайте, что адресация идет относи- 
тельно регистра ЕЗР, и далее компилятор корректирует адресацию эле- 
ментов массива. Таким образом, при вычислении индекса мы должны 
вычитать единицу (4 при вычислении адреса элемента). Итак, имеем: 


® [езр+еах*4+1941+уаг_ 184] = [езр+еах*4+4*4], что соответствует 
а[1+3], 


® [езр+еах*4+194Н+уУаг_180] 
а [1+4]; 


[езр+еах*4+5*4], что соответствует 


# 


® [езр+еах*4+194.+уаг 188] [езр+еах*4+3*4], ЧТО соответствует 


а[1+2]; 

® [езр+еах*4+194Н+уаг_18С] = [езр+еах*4+2*4], что соответствует 
а [1+1], 

® [езр+еах*4+194[+уаг 190] = [езр+еах*4+1*4], что соответствует 
а[1]. 


Что же у нас получается? Вначале складываются элементы а[1+3] и 
а[1+4] и результат помещается в регистр ерох. Далее к сумме добавляются 
элементы а[1+2], а[1+1] И а[1]. Окончательная сумма добавляется к 
регистру ЕСх, который, как мы знаем, и является переменной з. Наконец 
индекс, т.е. параметр цикла, разумеется, увеличивается не на 1, а на 5. 
Таким образом, можно сказать, что компилятор, в сущности, реализовал 
следующий цикл: 
Рок (1=0; 1<100; 1+=5) 
{ 

$=$+а[1]; 

5=з+а [1+1]; 

5=5+а [1+2]; 

5=5+а [1+3]; 

$=5+а [1+4]; 


} 


Безусловно, данный цикл с алгоритмической точки зрения полностью 
эквивалентен циклу из листинга 3.66. С точки же зрения оптимизации он 
реализует так называемое разворачивание циклов, позволяющее значитель- 
но увеличить скорость выполнения программы. 
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Вложенные ЦИКЛЫ И ЦИКЛЫ 
со сложными условиями выхода 


Выше мы разбирали структуры исполняемого кода, соответствующие про- 
стейшим циклам. Однако циклические алгоритмы могут быть усложнены 
следующими факторами: 


О вложенностью циклов; 
О сложным условием выхода из цикла; 


С наличием дополнительных операторов управления циклами, такими как 
Ьгеак И сопё1пице. 


Приведу только два примера. Первый пример содержит в себе одновремен- 
но и сложное условие выхода из цикла, и операторы управления циклами 
(листинг 3.68). Я намеренно не привожу исходный текст программы на 
С++, поскольку нашей задачей является не посмотреть, как компилятор 
преобразует текст программы в исполняемый код, а понять логику выпол- 
нения этого кода. 





. Сехе:00401000 пап ргос пеаг ; СОБЕ ХВЕЕГ: 5$$ах®+16Е?р 
. Сехе:00401000 уаг_ С = амога рег -0СВ 

.СехЕ:00401000 уаг 8 = амога рег -8 

‚ Сехе:00401000 уаг 4 = Амога рег -4 


. бехе:00401000 разв еьр 

.Еехе:00401001 оу ебр, езр 

.Еехе:00401003 54 езр, ОСБ 

.Сехе:00401006 пох [ерр+уаг_4], 0 

.Еехё:0040100 пох [ебр+уаг_С], 0 

.бехе:00401014 поУ [ебр+уаг_8], 0 

‚ сехё:0040101В пр эПогЕ 1ос 401026 

.Кехе:0040101р2 1ос_ 401010: ; СОБЕ ХВЕЕ: _ма1п+51?) 
. Сехе: 0040101 ; Па1п+74?) 

.бехе:0040101р поУ еах, [ебр+уаг_ 8] 

. СехЕ:00401020 ааа еах, 1 

. Сехе:00401023 по [ебр+уаг_8], еах 

. Еехе:00401026 1ос 401026: ; СОБЕ ХВЕЕР: _па1п+1В?3 
.Еехе:00401026 спр [ебр+уаг_8], 27106 
.Сехе:00401020 ) де зВогЕ 1ос 401076 

.Еехё:0040102Е стр [еБр+уаг_ 4], 0С3508 


.Сехе:00401036 че эНогЕ 1ос 401076 
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.Сехе: 
.Сехе: 
„.Техе: 
.Сехе: 
„.сехс: 
.Сехс: 
. Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
. Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
. Сехс: 
.Сехс: 
. Сехс: 
.Сехе: 
.Сехе: 
.Сехе: 
. бехе: 
.Сехе: 
.фехе: 
„.Еехе: 
. сехс: 
. сехе: 
‚. Сехе: 
.Сехе: 


Комментарий к листингу 3.68 


00401038 
00401038 
0040103Е 
00401041 
00401044 
0040104В 
00401042 
00401051 
00401053 
00401053 
00401056 
00401057 
0040105А 
00401050 
00401061 
00401063 
00401065 
00401065 
00401068 
00401068 
0040106Е 
00401071 
00401074 
00401076 
00401076 
00401076 
00401078 
0040107А 
00401078 
00401078 


ХВЕЕ: 


ХВЕЕ: 


_Па1п+4Е?) 


_а1п+61?) 


; СОБЕ ХВЕЕ: _ма1п+20?) 


пох есх, [ефр+уаг_4] 
ааа есх, [ебр+уаг_С] 
ааа есх, [ебр+уаг_8] 
пох [ебр+уахк_4}], есх 
пох [ебр+уаг_4], 1ЕБ 
спр [ебр+уаг_4], 0 
92 ЗВогЕ 1ос_ 401053 
пр зНогЕ 1ос_ 401015 
1ос 401053: ; СООЕ 
оу еах, [ебр+уаг_4] 
саа 
19419 [ебр+уаг_8] 
пох [ебр+уаг_С], еах 
стр [ебр+уаг_С], 64П 
912 ЗВоге 1ос_ 401065 
пр ЗВоге 1ос 401076 
1ос_ 401065: ; СОБЕ 
пом е@х, [ебр+уаг_С] 
пом [ебр+уаг_С], еах 
пом еах, [ебр+уаг_С] 
ааа еах, 1 
пох [ебр+уаг_С], еах 
пр ЗВоге 1ос 401010 
1ос_401076: 
; _Ма1п+36?) 
хог еах, еах 
оу езр, ебр 
рор езр 
гееп 
_па1п епар 


301 


Начнем с фрагмента, расположенного по адресам 00401010—00401023. 
Очевидно перед нами типичный заголовок цикла, точнее, та часть цикла, 
которая увеличивает значение параметра цикла. Соответственно вход в 
цикл осуществляется ниже данного фрагмента по команде )пр звоге 
10с_401026. Подобные фрагменты мы изучали уже неоднократно. Итак, 
начало цикла очерчивается достаточно четко: это метка 1ос_401010. Просмат- 
ривая листинг далее, обратим внимание на команду 3пр звогЕ 1ос_ 401010. 
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Поскольку далее нет команд, осуществляющих переход на метки между 
адресами 00401010 И 00401074, то можно предположить, что это послед- 
няя команда цикла. Замечу, что, в принципе, рассматриваемый цикл мог 
быть вложенным и в другой цикл, но наш анализ не касается этого вопро- 
са. Итак, контуры цикла очерчены. Следующий вопрос: по каким услови- 
ям происходит выход из цикла? Вообще, нам совершенно не важно, запи- 
сано это условие в заголовке или выход осуществляется по оператору 
Ьгеак. Важно, что выход из цикла происходит на адрес 00401076. Итак, 
мы видим следующие команды: 


. Еехе:00401020 де Боге 1ос 401076 
.Сехе:00401036 че зПоге 1ос 401076 
сехё: 00401063 Эр зпоге 1ос 401076 


Последний переход стоит несколько ниже двух первых и происходит при 
условии, что переменная уах_Сс равна бан, т. е. 100. По-видимому, это и есть 
ВЫХОД ПО Бгеак. Первые же два перехода, очевидно, соответствуют заголовку 
цикла и условию логического "И". Без труда можно определить, что условие 
выполнения цикла может быть записано как уах_8 <2710ь && уаг 4<с350Н. 
Замечу, что, очевидно, уак_8 является параметром цикла (листинг 3.68, ад- 
реса 00401010—00401023). По сути, неразъясненными в структуре цикла ос- 
тались команды: 


. Сехе:0040104В стр [ебр+уаг_ 4], 0 
. Сехе:0040104Е 2 5ПогЕ 10с_ 401053 
. бехе:00401051 Эр зпоге 1о0с_ 401010 


Другими словами, если переменная уакг_4 окажется не равной нулю, то 
произойдет переход на начало цикла. Ну, а это, очевидно, есть не что иное, 
как оператор сопЕ1пое. 


Рассмотрим теперь пример вложенных циклов. Типичным примером вложен- 
ных циклов является манипуляция с многомерными массивами. В листин- 
ге 3.69 представлен дизассемблированный код, который осуществляет за- 
полнение двумерного массива. Замечу, что при компиляции программы при 
помощи компилятора \15иа! С++ я не задавал никаких опций оптимизации. 





.ехе:00401000 —ма1п ргос пеаг ; СОБЕ ХВЕЕР: $$ак&+16Е?р 
. Сехе:00401000 Уак 198 = Чмога рег -1988 
.Сехё:00401000 уаг_194 = Чмога рег -1946 
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„Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
:00401013 


.техе 


„Сехе: 
„Сехе: 
.Сехс: 
.Сехе: 
.Сехе: 
:00401024 
.Сехс: 
.Сехе: 
.Сехе: 
„.Сехе: 
.Сехс: 
.Сехе: 
„Сехе: 
.Сехс: 
.Сехс: 
.Сехе: 
.Сехе: 
.Сехс: 
.Сехе: 
„Сехе: 
.Сехс: 
.бехс: 
.сехе; 
. сехе: 
:00401078 


.Сехе 


.Сехе 


.Сехе: 
.Сехе: 
.Сехс: 
. Сехе: 
.Сехс: 
„Сехе: 
.Сехе: 


00401000 
00401000 
00401001 
00401003 
00401009 


00401015 
00401015 
00401018 
0040101Е 
00401024 


0040102В 
00401020 
00401037 
00401039 
00401039 
00401032 
00401042 
00401048 
00401048 
00401042 
00401051 
00401057 
00401052 
00401063 
00401066 
00401060 
00401073 
00401076 


00401078 
0040107А 
0040107А 
0040107С 
0040107Е 
00401072 
0040107Е 


уаг 190 
разв 
поУ 
зар 
поУ 
тр 

Тос_ 401015: 
пох 
ааа 
поУ 

Тос 401024: 
спр 
3де 
пох 
тр 

1ос 401039: 
поУ 
ааа 
поУ 

1ос 401048: 
спр 
че 
поУу 
ааа 
поУ 
1 
]1еа 
поУ 
поу 
тр 

10с_401078: 
Этр 

Тос_40107А: 
хог 
поУ 
рор 
гееп 


= Чмога рег -1908 
ебр 

ебр, езр 

езр, 1985 
[ебр+уаг_ 194], 0 
зНогЕ 1ос 401024 


; СОБЕ ХВЕЕ: _ма1п:10с_401078?)3 


еах, [ебр+уаг_ 194] 
еах, 1 
[ебр+уаг 194], еах 
; СОБЕ ХВЕЕР: _па1п+13?) 
[ебр+уаг_ 194], ОАВ 
зрогЕ 1ос 40107А 
[ебр+уаг 198], 0 
Зроге 1ос_401048 
; СОБЕ ХВЕЕ: _ма1п+76?) 
есх, [ебр+уаг 198] 
есх, 1 
[ебр+уаг 198], есх 
; СОБЕ ХВЕЕ: _па1п+37?) 
[ебр+уаг_ 198], ОАВ 
зноге 1ос_401078 
еах, [ебр+уаг_ 194] 
еах, [ебр+уаг 198] 
еах, [ебр+уаг_ 194] 
еах, 285 
есх, [ебр+еах+уаг 190] 
еах, [ебр+уаг 198] 
[есх+еах*4], еах 
ЗПоге 1ос 401039 
; СОБЕ ХВЕЕ: _ша1п+4Е?) 
зпогЕ 1ос_ 401015 
; СОБЕ ХВЕР: _ма1п+2В?) 
еах, еах 
езр, ебр 
ерр 


_па1п епар 
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Комментарий к листингу 3.69 


С Увидеть вложенные циклы в листинге достаточно просто. Легко разли- 
чаются начало внешнего цикла по адресу 00401015 и начало внутреннего 
цикла по адресу 00401039. Обращаю ваше внимание на инструкции 3пр 
$ВогЕ 1ос_ 401024 И 3пр зПоге 1ос_ 401048, которые осуществляют пер- 
вичный вход, соответственно, во внешний и внутренний циклы. Таким 
образом, структура вложенных циклов в данном случае весьма проста и 
не требует дополнительных пояснений. 


О Интересно рассмотреть то, как в исполняемом коде реализован алгоритм 
присвоения значения двумерному массиву. Итак, параметр внешнего 
цикла хранится в переменной уаг_194, а параметр внутреннего цикла — 
в переменной уах_198. Оставшаяся переменная уаг_190, очевидно, ука- 
зывает на начало нашего двумерного массива. Итак, после команд пох 
еах, [ебр+уаг_ 194] И ааа еах, [ебр+уаг_198] мы имеем в регистре Еох 
сумму значений двух индексов. Если забежать несколько вперед к коман- 
Де шоу [есх+еах*4], еах, КОТорая явно напоминает оператор присвоения 
значения элементу массива, то очевидно, что элементам массива при- 
сваиваются значения суммы индексов (значений параметров внешнего и 
внутреннего цикла). Но вернемся несколько назад. Что значат команды 


шоу еах, [ебр+уаг 194] 


1101 еах, 288 


Очевидно, что значение индекса (будем считать его первым) умножается 
на количество байтов в строке двумерного массива (4х 19 = 40 = 281). 
А далее — 1еа есх, [ебр+еах+уаг 190] — мы получаем адрес начала те- 
кущей строки в регистр сх. Наконец, есх+еах*4 — ЭТО уже адрес теку- 
щего элемента двумерного массива. Таким образом, мы достаточно легко 
раскусили представленный в листинге 3.69 алгоритм. 


Завершая разговор о циклах, замечу, что если при компиляции той же про- 
граммы (с двумерным массивом) при помощи У15ца| С++ установить опцию 
"создавать быстрый код”, то результат будет весьма интересен: исчезнет 
внутренний цикл, компилятор "развернет" его (см. листинг 3.67 и коммента- 
рий к нему). Внешний же цикл, как и следовало, из цикла с предусловием 
превратится в цикл с постусловием. 


3.2.4. Объекты 


Идентификация объектов и всего, что с ними связано, — задача более 
сложная, чем те, которые мы с вами до сих пор решали. Однако с большей 
частью материала, который будет изложен далее, мы уже встречались. Ведь 
методы, в конце концов, — это функции, а свойства объектов — это пере- 
менные!?. Ну, а о деталях по порядку. 


12 Те и другие называют членами класса. 
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Идентификация объекта 
Статические объекты 


Начнем рассмотрение объектов с простого примера, который призван про- 
демонстрировать нам типичные программные структуры обслуживания объ- 
ектов (листинг 3.70). В программе имеется всего один класс, от которого 
создается единственный объект. Замечу, что создается глобальный статиче- 
ский объект, т. е. компилятор должен позаботиться о выделении памяти для 
него. Вообще центральным моментом в объектном программировании явля- 
ется вопрос о том, относятся ли созданные свойства и методы к одному 
объекту или нескольким объектам сразу. И если, например, метод (т. е. в 
сущности, некая функция) относится к нескольким объектам сразу, то как 
он (метод) "знает", относительно какого объекта он вызван в том или ином 
месте программы? 





#1пс1а4е <з&Я1о.1> 
с1аз$ А { 
рою11с: 
11 Ь; 
106 а; 
11 дефа(){6=0; тгебагп а;}; 
уо1А зефа (11%); 
}; 


$01Я А: : зеба (11% а1) 


А1.зефа (10); 
10 с=А1.дефа(); 
ру1пЕЕ("%А\п", с); 


В листинге 3.71 мы имеем дизассемблированный ПРА Рго исполняемый код 
функции ма1зп для программы из листинга 3.70. Компилирование произве- 
дено в \!5на| С++ при отсутствии опций оптимизации. 
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.Сехе:00401020 _па1п ргос пеаг ; СОБЕ ХВЕЕ: $6аг&+16Е?р 
.Сехё:00401020 уаг 4 = @мога рёг -4 
.Сехе:00401020 разв ебр 

.Сехе:00401021 пом ебр, езр 

. Сехе:00401023 разй есх 

‚ Сехе:00401024 разв ОАВ 

‚ Сехе:00401026 поу есх, ОЕЁзеё ипк_4086С0 
.Сехё:0040102В са11 зир_401000 

. Сехе:00401030 пох есх, ОЕЁзее ипк_ 4086С0 
.Сехе:00401035 са11 зи 401060 
.Сехе:0040103А по [ебр+уаг 4], еах 
.Сехё:00401030 пом еах, [ебр+уаг 4] 
.Сехе:00401040 разв еах 

. Сехе:00401041 ризп ОЕЁЕзеЕё ипк_ 4060ЕС 
.Сехе:00401046 са11 _рЕЗПЕЕ 

.СехЕ:0040104В ааа езр, 8 

.Сехе:0040104Е хог еах, еах 

. Сехе:00401050 поу езр, еБр 
‚.Сехе:00401052 рор еьр 

.бехе:00401053 гесп 


.Сехе:00401053 _па1п епар 


Комментарий к листингу 3.71 


В тексте, представленном в листинге, имеются вызовы трех функций. 
Один вызов — это вызов библиотечной функции ре1пЕЕ, и на нем нет 
смысла останавливаться. А вот функции заб 401000 И за 401060 стоит 
рассмотреть подробнее. Ниже в листинге 3.72 мы разберем код этих функ- 
ций. Поскольку у нас перед глазами текст программы (см. листинг 3.70), 
то, не мудрствуя лукаво, можно с определенностью сказать, что перед на- 
ми вызовы методов зека И чека соответственно. Обратим внимание, что 
перед вызовом метода в обоих случаях в регистр ЕСх отправляется адрес 
некой области памяти: оЕЕзеё ипк_4086С0. Щелкнув по ссылке, мы узна- 
ем, что область эта состоит из восьми байтов, во всяком случае, так сооб- 
щает нам ГРА Рго. Это должно насторожить нас, ведь наш объект содер- 
жит два свойства, имеющих тип 1пе, это как раз и составляет 8 байтов. 
Таким образом, уже из предварительных рассуждений можно сделать Вы- 
вод, что при вызове метода одним из параметров является (для компиля- 
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тора \У15иа| С++ параметр передается через регистр ЕСХ) адрес объекта, от- 
носительно которого вызывается данный метод. 


Замечание 


Указатель на объект, используемый в методе, в языке С++ имеет свое назва- 
ние — +113. С помощью данного указателя можно получить доступ к членам 
класса, в том числе и закрытым. 





.Сехе:00401000 заЪ 401000 ргос пеаг ; СОБЕ ХВЕЕ: _ма1п+В?р 
.$ехе:00401000 уаг_4 
.сехе:00401000 ага _0 


Чмога рег -4 


Чмога рег 8 


.Сехё:00401000 разв ебр 
.Сехе:00401001 по ебр, езр 

‚ Сехе:00401003 рай есх 
.бехе:00401004 пох ([ебр+уаг_4], есх 
‚ сехе:00401007 поу еах, [ебр+уаг_4] 
.Сехе:0040100А поУ есх, [ебр+ага_0] 
.бехе:00401000 пох [еах+4], есх 
.Кехе:00401010 пох еах, [ебр+уаг_4] 
. ехе:00401013 пох иога рег [еах], 1 
.Сехё:00401019 поу езр, ебр 
‚.Сехе:0040101В рор ерр 
„.Сехё:0040101С гееп 4 


.Сехе:0040101С зиЮ 401000 епар 


.Сехе:00401060 зо5 401060 ргос пеаг ; СОБЕ ХВЕЕ: па1п+15?р 
‚.сехе:00401060 уаг 4 = амога рёг -4 


.Еехе:00401060 разв ебр 

.Еехе:00401061 пох ебр, езр 
.Сехе:00401063 разй есх 

.Сехе:00401064 поУ [ебр+уаг_4], есх 
.Кехе:00401067 пох еах, [ебр+уаг_4] 
.Сехе:0040106А поу мог рег [еах], 0 
.Сехе:00401070 пом есх, [ебр+уаг_4] 
.Кехе:00401073 пох еах, [есх+4] 


.Сехе:00401076 оу езр, ебр 
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. Сехе:00401078 рор ебр 
.Сехе: 00401079 геёп 
.Сехе:00401079 зар 401060 епар 


Комментарий к листингу 3.72 


С Рассмотрим текст функции заь 401000. Как мы уже заметили, очевидно, 
что это функция зефа. Отмечу сразу, что функция имеет одну стековую 
переменную и один параметр. При этом освобождается стек посредством 
команды вЕТМ 4. Привлекает внимание последовательность команд 


ризН есх 


поу [ебр+уаг 4], есх 


Конечно, это недоразумение. Команда разн здесь используется для ре- 
зервирования памяти под локальную переменную. Одновременно пере- 
менной присваивается значение, содержащееся в регистре сх. Следую- 
шая за ризр команда опять присваивает переменной то же значение. 
Извиним компилятор за такой казус — в конце концов, мы указали ему 
не проводить оптимизацию. Далее дело техники: значение, которое мы 
считаем адресом объекта, оказывается в регистре ЕАх и далее пох 
[еах+4],есх (в ЕСХ Теперь значение параметра). Другими словами, свой- 
СТВО а объекта находится со сдвигом в 4 байта относительно адреса нача- 
ла объекта. Далее: 


шоу е@х, [ебр+уаг_4] 


поУу Чмога рег [еах],1 


А это уже присвоение свойству ь значения 1. 


С После наших исследований в процедуре заь_ 401060 уже нет ничего но- 
вого. И поу еах, [есх+4] — ЭТО просто возвращение значения свойства а 
функций дека. 


Итак, рассмотрев пример компиляции при помощи У15иа! С++, можно от- 
метить, что при вызове метода ему неявно передается указатель на объект, в 
контексте которого он вызывается. В нашем примере создавался глобальный 
объект. Однако нет никакой разницы, если объект будет создан локально, в 
стеке. Попробуйте сами провести это исследование. 


Нет существенной разницы в том, как компилирует текст программы из 
листинга 3.70 компилятор Войапа 5.0. Методу также сообщается адрес объ- 
екта посредством дополнительного параметра, который передается через 
стек последним по отношению к другим параметрам. Опять же, мы не бу- 
дем обременять вас, дорогие читатели, дополнительными листингами, кото- 
рые уже не привнесут в ваше понимание ничего нового. 
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Динамические объекты 


При практическом программировании чаше используются объекты, созда- 
ваемые "на лету". Для этого применяется оператор пех. Перепишем нашу 
программу из листинга 3.70 в терминах динамически создаваемых объектов 
(листинг 3.73). 





#1пс1аае <эЕао.в> 


с1а5$ А { 
руБ11с: 
11 Б; 
106 а; 
пе дека() {ю=0; гебигп а;}; 
уо1А зека (11); 
}; 
уо1А А: :зета (1пЕ а1) 
{ 
а=а1; 
Ь=1; 
}; 
%01Я малп() 
{ 
А * А!1=пеу (А); 
А1->5еба (10); 
1пЕ с=А1->дефа(); 
ре1пЕЕ ("%А\п", с); 
Че1ефе А1; 


В листинге 3.74 представлен исполняемый код, созданный компилятором 
\У15иа| С+- в отсутствие оптимизации. 





.Сехе:00401020 пап ргос пеаг ; СОБЕ ХВЕЕ: 3$аг&+16Е?р 
.Сехе:00401020 уак_ 10 = @мога рег -106 


.Сехе:00401020 уаг С 
.Сехе:00401020 уаг_8 


Ямога рег -0Сп 
Чмотга рег -8 
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. Сехе:00401020 уаг_4 = @мога рёг -4 
.Бехе:00401020 разй еБр 
.бехе:00401021 пох ебр, езр 
.бехе:00401023 за езр, 108 

. Сехе:00401026 разй 8 

„.Сехе: 00401028 са11 ??2@УАРАХТ@ 2 ; орегабог пем (1111) 
.Сехе:00401020 ааа езр, 4 
.бехе:00401030 пом [ебр+уаг_С], еах 
. ехё:00401033 (ед еах, [ебр+уаг_С] 
.сехё:00401036 поУ [ебр+уаг_8], еах 
. Сехе:00401039 разв ОАВ 
.бехе:0040103В пох есх, [ебр+уаг_8] 

‚ Сехё:0040103Е са] 1 зар 401000 
.Сехе:00401043 пох есх, [ебр+уаг 8] 
.Сехе:00401046 са11 зир_ 401080 
.сехе:0040104В пом [ебр+уаг_4], еах 
.бехе:0040104Е пох есх, [ебр+уаг 4] 
.Сехе:00401051 разй есх 

. Сехе:00401052 разв ОЕЁзее ипк_ 4060ЕС 
. Сехе:00401057 са11 _рЕ1пеЕ 
.Сехе:0040105С ааа езр, 8 
.Сехе:0040105Е пом еах, [ебр+уаг 8] 
.Сехф:00401062 пом [ебр+уаг_10], еах 
.Еехе:00401065 пох еах, [ебр+уаг 10] 
. Сехе:00401068 ра$зй еах 
.Сехе:00401069 са11 )_ Егее 
.бехе:0040106Е ааа езр, 4 
.Сехе:00401071 хог еах, еах 
„.Сехе:00401073 пох езр, ебр 
.Сехе;:00401075 рор ерр 
.Сехе:00401076 хе’ 

. Сехе:00401076 пап епар 


Комментарий к листингу 3.74 


Конечно, не может не удивлять обилие во фрагменте и лишнего кода, и 
лишних стековых переменных. В данном случае это не имеет существен- 
ного значения. Важно, что после создания объекта дальнейшие действия, 
в сущности, ничем не отличаются от тех, что мы видели в листинге 3.71. 
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Замечу, что операторы пеи И ае1ефе (вызов процедуры 3__{кее) распо- 
знаются дизассемблером ГРА Рго, что делает дальнейший анализ весьма 
простым делом. 


Виртуальные функции 


Виртуальные функции — это своего рода плата за красоту и стройность тео- 
рии объектного программирования. "Платит по счетам", разумеется испол- 
няемый код и те, кто его исседуют, т. е. мы с вами. 


Рассмотрим листинг 3.75. 





#1пс10Ае <зЕа1о.Н> 


С1азз А { 
рую11с: 
116 а; 
116 зеба(1пе а1){а=а1; хебагп а;}; 
уо1А ра() {ре1пЕЁ ("%А\п", а); } 
}; 
с1азз В:риЪ11с А { 
ру6]11Сс: 
11пЕ зеба(1пе а1) {а=а1+1; гебагп а;}; 
}; 
уо1А пма1п() 
{ 
А* А1; 
А1=пем (В); 
А1->зека (10); 
А1->ра(); 
Че1ефе А1; 
}; 


В листинге 3.75 мы имеем типичный пример наследования. Класс в наследу- 
ет свойства и методы класса ^. При этом класс в имеет метод зека, совпа- 
дающий по имени и параметрам с подобным методом в классе л. Если, на- 
пример, создать объект на основе класса в, то при вызове метода зеха будет 
вызываться именно метод из класса в. Это известное свойство наследова- 
ния. Несколько иная ситуация возникает, если создать вначале указатель на 
объект базового класса А, а затем создать объект при помощи оператора пем 
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на основе шаблона класса в (см. листинг 3.75). Здесь компилятор по впол- 
не очевидным причинам будет ориентироваться на тип указателя. Тогда 
А1->зека(10) будет означать вызов метода базового класса. 


В листинге 3.76 представлен дизассемблированный исполняемый код, соз- 
данный \15ца! С++ при отсутствии оптимизации. 


—. 





4% 


.6ехё:00401000 —па1п ргос пеаг ; СОБЕ ХВЕЕ: $36аг®+16Е?р 
.Сехё:00401000 уаг С = амога рег -0СП 
.Сехе:00401000 уаг 8 = амога рег -8 
.сехе:00401000 уаг 4 = амога рег -4 
.Сехе:00401000 разв ебр 
.Сехе:00401001 оу ебр, езр 
.Сехе:00401003 зар езр, ОСЬ 
.Сехе:00401006 разь 4 

. Сехе:00401008 са11 ??2@УАРАХТ@2 ; орегабог пем (и1п%) 
.Сехе:00401000 ааа езр, 4 
$ехё:00401010 пох [ебр+уаг 8], еах 
сехе:00401013 поу еах, [ебр+уаг_8] 
сехе: 00401016 пох [ебр+уаг_ 4], еах 
сехё:00401019 ра$В ОАВ 
сехе:0040101вВ ПОХ есх, [ебр+уаг_4] 
$ехе:0040101Е са11 Зою 401050 

фехё: 00401023 пох есх, [ебр+уаг_4] 
сехё:00401026 са11 зар 401070 
сехё:0040102В поУ есх, [ебр+уаг 4] 
сехе:0040102Е доу [ебр+уаг_С], есх 
фехе:00401031 пох е@х, [ебр+уаг С] 
сехе: 00401034 разв еах 
сехе:00401035 са11 ) Ехее 
сехе:0040103А ааа езр, 4 

фехЕ: 00401030 хог еах, еах 
сехе:0040103Е пом езр, ебр 
$ехЕ:00401041 рор ерр 
фехе:00401042 геёп 

$фехЕ:00401042 пап епар 

$ехе:00401042 


00401050 
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.Кехе:00401050 зоб 401050 ргос пеаг ; СОБЕ ХВЕЕ: ма1п+1Е?р 
.Еехе:00401050 уаг_4 = Омога рег -4 
.Кехё:00401050 агд_О = амога рёг 8 


.Техе:00401050 разв ебр 

. Сехе:00401051 оу ебр, езр 

. Сехе:00401053 разв есх 
.СехЕ:00401054 поУ [ебр+уаг_4], есх 
.Еехе:00401057 оу еах, [ебр+уаг_4] 
.СбехЕ:0040105А пом есх, [ебр+ага_0] 
.бехе:00401050 ОУ [еах], есх 
.Сехе:0040105Е ОУ еах, [ебр+уаг_4} 
.Сехе:00401062 поУ еах, [еах] 

. Сехе:00401064 пох езр, ебр 
.СехЕ:00401066 рор ебр 
.Техе:00401067 геп 4 


.Кехе:00401067 заб 401050 епар 

. Сехе:00401067 

. Сехе:00401070 

.Сехе:00401070 за6 401070 ргос пеаг ; СОРЕ ХВЕЕ: ма1п+26?р 
. Сехс:00401070 уаг_4 = 9мога рег -4 


.Сехе:00401070 разв ебр 
.Сехе;:00401071 ОУ ебр, езр 

. Сехе:00401073 разв есх 
.Сехе:00401074 пох [ебр+уаг_4], есх 
.СехЕ: 00401077 пох еах, [ебр+уаг_4] 
.СехЕ:0040107А пох есх, [еах] 

‚ Сехе;:0040107С разв есх 

‚ Сехе:0040107р разв ОЕЁзее ипк_4060ЕС 
‚ Сехе:00401082 са11 _рЕе1пЕЕ 

. Сехе:00401087 ааа езр, 8 
.Сехе:0040108А оу езр, ебр 
.Еехе:0040108С рор ебр 

‚ Сехе:0040108р гееп 


‚ Сехе:0040108р заб 401070 епар 


Комментарий к листингу 3.76 


Комментарий будет коротким, т. к. в листинге мы не увидим принципиаль- 
но ничего нового, отличного от того, что уже видели и исследовали в пре- 
дыдущем разделе (см. листинг 3.74). Для создания нового объекта отводится 


11 2,..- 11а 
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4 байта, а указатель на созданный объект передается через регистр ЕСХ (см. 
вызов функций заб 401050 и за 401070). В самих функциях указатель на 
объект используется для доступа к свойству объекта. В процедуре 
зи5_401050 мы ВИДИМ 


поу [ебр+уаг 4], есх ;адрес объекта в стековую переменную 
гоу еах, [ебр+уаг_ 4] ;адрес в регистр ЕАХ 
поу есх, [ебр+ага_0] ;значение параметра в регистр ЕСХ 


поУу [еах],есх ; Значение параметра присваивается свойству объекта 


А теперь, собственно, перейдем к понятию виртуальных функций и поли- 
морфизму. Для этого рассмотрим следующую программу из листинга 3.77. 
По сравнению с листингом 3.75 я добавил в базовый класс еще один метод 
зека1, а также сделал методы зека И зека1 виртуальными. Знакомые 
с объектным программированием сразу сообразят, что при вызовах 
А1->зеса(10) И А!->зеъа1 (10) будут вызываться методы производного 
класса, т. е. класса в. 





#1пс1аае <зЕАто.В> 


С1аз5$ А { 
р9Б11с: 
10 а; 
У1гЕпа1 1п6 зефа(1пе а1){а=а1; гебагп а;}; 
У1гЕиа1 1п6 зефа1 (116 а1){а=2*а1; гебагп а;}; 
Уо1А ра() {реапЕ ЕЁ ("%А\п", а); } 
}; 
С1аз$ В:риЬ11с А { 
рчЬ11с: 
106 зеба(1пЕ а1) {а=а1+1; гебагп а;}; 
11 зеба1(1п6 а1) {а=2*а1+1; гебагп а;}; 
}; 
уо1А щша1п() 
{ 
А* А!1; 
А1=пем (В); 
А1->зеса (10); 
А1->ра(); 
А1->5ефа1 (10); 
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А1->ра(); 
Яе1ефе А]; 
}; 


В листинге 3.78 представлен дизассемблированный исполняемый код функ- 
ЦИИ па1п Из листинга 3.77. Оптимизация отсутствует. 





.Сехе:00401000 —ма1тп ргос пеаг ; СОБЕ ХВЕЕ: з$агЕ+16Е?р 
‚ Сехе:00401000 уаг 10 = амога рег -108 

.Сехе:00401000 уаг С = амога рег -0СВ 

. Сехе:00401000 уаг_ 8 = амога рег -8 

. Сехе:00401000 уаг 4 = @мога рег -4 


. Сехе:00401000 разв ебр 

‚ Сехе:00401001 поУ ебр, езр 

‚ Сехе:00401003 заь езр, 108 

.Сехё:00401006 разв 8 

.сехё:00401008 са11 ??28УАРАХТ@2 ; орегабког пем(и1пЕ) 
. бехе:0040100р ааа езр, 4 

.бехЕ:00401010 пох [ебр+уаг_ 8], еах 

. Сехе:00401013 спр [ебр+уаг_8], 0 

. Сехё:00401017 92 зВогЕ 1ос_ 401026 
.бехе:00401019 по есх, [ебр+уаг 8] 
.СехЕ:0040101С са11 зиь 4010А0 

. Сехе:00401021 пох [ебр+уаг_10], еах 
.Сехе:00401024 пр ЗПогЕ 1ос 401020 
.Сехе:00401026 1ос_ 401026: ; СОБЕ ХВЕЕ: _ма1п+17?) 
.бехе:00401026 пох [ебр+уаг_10], 0 
.Сехе:0040102р 1ос_ 401025: ; СОБЕ ХВЕЕ: _ма1п+24?) 
.Сехе:00401020 пох еах, [ебр+уаг 10] 
.бехё:00401030 по [ебр+уаг 4], еах 
.Техе:00401033 разв ОАВ 

.Еехе:00401035 по есх, [ебр+уаг_4] 
.бехе:00401038 ФУ еах, [есх] 

‚ Сехе:0040103А оу есх, [ебр+уаг 4] 

. Сехе:0040103р са11 мог рег [еах] 

. СехЕ:0040103Е пох есх, [ебр+уаг_4)] 


.Сехе:00401042 са11 зар 401080 
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„.Сехе:00401047 разв ОАЙ 
.Бехе:00401049 пох еах, [ебр+уаг 4] 
.Сехе:0040104С пох еЯх, [еах] 
.Еехе:0040104Е пох есх, [ебр+уаг_4] 
.Сехе:00401051 са11 Чмога рег [еах+4] 
.Еехе: 00401054 пох есх, [ебр+уаг 4] 
.Сехе: 00401057 са11 зи 401080 

. СехЕ:0040105С шоу еах, [ебр+уаг_4) 
. Сехе:0040105Е пох [ебр+уаг_С], еах 
. Кехё:00401062 шоу есх, [ебр+уаг_С] 
‚ Сехе:00401065 разв есх 
.Сехе:00401066 са11 3 Егее 
.бехф:0040106В ааа езр, 4 
.бехе:0040106Е хог еах, еах 
.Сехе:00401070 по езр, ебр 
.Еехе:00401072 рор ебр 

‚ Сехе:00401073 гесп 


.Сехе:00401073 пап епар 


Комментарий к листингу 3.78 


С В первую очередь обратим внимание на то, что при создании объекта 
запрашивается память не 4 байта как раньше, а 8 байтов (разь 8). Забегая 
вперед, скажу, что дополнительные 4 байта, расположенные в начале 
объекта, отводятся для адреса таблицы виртуальных функций. 


С На этот раз в тексте мы видим контроль того, что оператором пем действи- 
тельно была выделена память для создаваемого объекта. В случае если 
функция выделения памяти возвратит 0, т. е. произошла ошибка, в пере- 
менную уаг_10 заносится 0, что в конечном итоге должно вызвать исклю- 
чение (команда поту едх, [есх] при содержимом регистра Есх, равном 0). 

С Отдельно обрщаю ваше внимание на функцию зоь 401040 (лис- 
тинг 3.79). Это особая функция, которой нет в тексте программы. Ее на- 
значение — занести в начало области, отведенной для создаваемого объ- 
екта, адрес таблицы виртуальных функций. Функция возвращает, опять 
же, адрес объекта, но уже с адресом (в первых четырех байтах) таблицы 
виртуальных функций. Далее используется следующий механизм: 
поу есх, [ебр+уаг_ 4] ;адрес объекта 
поу е@ах, [есх] ; содержимое начала области, где хранится 
;объект, в регистр ЕПХ. Это и есть адрес таблицы виртуальных функций 
поу есх, [ебр+уаг_4] 


са11 амога рёг {еах] ; вызов виртуальной функции 
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Итак, мы видим, что адрес виртуальной функции, в отличие от обычной, 
формируется динамически. Таким образом, любой косвенный вызов 
(независимо от компилятора) должен настораживать нас — очень вероятно, 
что перед нами как раз вызов виртуальной функции. В нашей программе 
виртуальные функции вызываются дважды: са11 амога рег [еах] (ЭТО зека) 
И са11 амока рег [е4х+4] (ЭТО зека1). Регистр Е‚рх указывает на начало таб- 
лицы виртуальных функций. Всего, очевидно, в таблице должны содержать- 
ся адреса двух виртуальных функций. 


Перейдем теперь к листингу 3.79, где содержится текст функции зыв_4010^А0, 
основное назначение которой — занести адрес таблицы виртуальных функ- 
ций в начало области памяти, где хранится объект. 





‚ Сехе:004010АО зар 4010А0 ргос пеаг ; СОШБЕ ХВЕЕ: _ма1п+1С?р 
.ехе:004010А0 — чуаг_4 = Фмога рег -4 


.СехЕ:004010А0 разв ебр 

.бехЕ:004010А1 по ебр, езр 

.Сехе:004010АЗ разв есх 

‚ Сехе:004010А4 поУ [ебр+уаг_4], есх 
.бехе:004010А7 ФУ есх, [ебр+уаг 4] 
.Сехе:004010АА са11 220105_Базевзеав@тАЕ@хХ2 
.Сехе:004010АЕ пом еах, [ебр+уаг 4] 
.Сехё:00401082 поУ Чмога рЕг [еах], ОЕЁзее оЕЁ 407100 
. Сехе:0040108В8 пох еах, [ебр+уаг_4) 

. Сехе:004010ВВ по езр, ебр 

.Сехе:0040108вр рор ебр 

.Сехе:004010ВЕ хееп 


.Сехе:004010ВЕ заб 4010АО епар 


Комментарий к листингу 3.79 


Функция, представленная в листинге, устроена очень интересно. Во-первых, 
здесь определяется адрес таблицы виртуальных функций и заносится в на- 
чало области, где хранится объект. Вот эти команды: 


поу  [ебр+уаг_4], есх 


поу еах, [ебр+уаг_4] 
поу Чмога рег [еах], ОЕЁзефк оЕЁ 407100 
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Да, очевидно в области памяти с адресом оЕЕ_407100 и содержится таблица 
виртуальных функций. А как быть с ВЫЗОВОМ функции 
2704035 Базе@зка@втаЕ@х2. Здесь нужно понять следующее. В нашей про- 
грамме иерархия классов имеет всего два уровня: базовый класс А и произ- 
водный класс в. Таблицы виртуальных функций создаются для каждого 
класса. Функция ??01оз_Ьазе@зка@@тдЕ@х? заносит в объект адрес таблицы 
виртуальных функций базового класса. Разумеется, в нашем случае адрес 
перезаписывается адресом таблицы виртуальных функций класса в. Теперь 
представьте себе, что в нашу иерархию мы добавляем еще один класс с, ко- 
торый является потомком класса в, и создаем объект на основе класса с: 
А1=пем (С). Как в этом случае компилятор будет обходиться с таблицами 
виртуальных функций? А вот как (листинг 3.80). 





;функция па1п 


_па1п ргос пеаг 


са11 ргос1 


; теперь объект содержит адрес таблицы виртуальных функций класса С 


_гла1п епар 


ргос1 ргос пеаг 


са11 ргос2 


; теперь объект содержит адрес таблицы виртуальных функций класса В 


;утеперь объект содержит адрес таблицы виртуальных функций класса С 


те 


ргос1 епар 


Ргос2 ргос пеаг 


са11 ??01о05_Базе@зка@@тдаЕ@Х2 


; теперь объект содержит адрес таблицы виртуальных функций базового класса 
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;теперь объект содержит адрес таблицы виртуальных функций класса В 


геёп 


ргос1 епар 


Внимательно разберите схему, представленную в листинге 3.80. Из нее долж- 
но быть понятно, как осуществляется запись адреса виртуальных функций 
для иерархии объектов с произвольным числом членов. Отсюда, в частно- 
сти, вытекает, что чем больше членов, тем больше времени потребуется для 
выполнения такой операции — количество вложенных процедур как раз 
равно количеству классов, включая базовый класс. Замечу также, что ком- 
пилятор У151а| С+-+ располагает таблицы виртуальных функций родствен- 
ных классов друг за другом, причем базовый класс имеет наибольший адрес 
(адреса растут снизу вверх). Сами же функции в таблице располагаются сни- 
зу вверх согласно их объявлению в тексте программы. 


Зная адрес таблицы виртуальных функций, мы легко выйдем на текст этой 
функции. Вот, например, как выглядит код виртуальной функции зека, 
определенной в классе в (листинг 3.81). 





.Сехе:004010С0 за _4010С0 ргос пеаг ;РАТА ХВЕЕГ: „гааба:оЕЕ 40710020 
.Сехе;004010С0 уаг 4 = омога рёг -4 
. Сехе:004010С0 ага_0 


Чмога рег 8 


.бехЕ:004010С0 разв евр 
.Сехе:004010С1 по ебр, езр 
.Сехе:004010С3 разв есх 
.СехЕ:004010С4 по [ебр+уаг_4], есх 
.„Сехе:004010С7 оу еах, [ебр+ага 0] 
.бехе:004010СА ааа еах, 1 

. Сехе:004010Ср пом есх, [ебр+уаг_4] 
. бехЕ:004010р0 пом [есх+4], еах 

. Сехе:004010103 пох еах, [ебр+уаг 4] 
. бехе:004010р06 оу еах, [е4х+4] 

. Сехе:004010109 пом езр, ебр 

‚ Сехе:004010р0В рор ебр 
.СехЕ:0040100С геЕп 4 


.Сехё:0040100С за 4010С0 епар 
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Комментарий к листингу 3.81 


Текст процедуры вполне понятен. Во-первых, в регистре Есх, как и ранее, 
содержится адрес объекта. Параметр же агд_0 — это как раз то значение, 
которое должно быть присвоено свойству а (см. листинг 3.77). Наконец, при 
присвоении значение должно быть еще увеличено на 1: 


ааа еах, 1 
поу есх, [ебр+уаг 4] 


поУ [есх+4], еах 


Мы видим, что свойство а располагается со смещением 4 от начала объекта. 
И это правильно, поскольку в первых четырех байтах находится адрес таб- 
лицы виртуальных функций. При установке опций оптимизации компиля- 
тор сокращает код. Например, исчезают процедуры, где в объект записыва- 
ется адрес виртуальной функции, — все происходит непосредственно в 
Функции па1п (я имею в виду наш пример). Кроме этого, в объект записы- 
вается сразу адрес последнего класса. 


При обращении к компилятору ВоПапа С++ 5.0 мы не обнаружим никаких 
особых отличий. Адрес таблицы виртуальных функций также размещается в 
начале объекта. Он также при инициализации перезаписывается, начиная с 
базового класса (точнее с класса, в котором впервые появилось ключевое 
СЛОВО У1гЕпа1) и заканчивая текущим производным классом. 


Конструктор и деструктор 


Необходимость конструктора и деструктора логически вытекает из концеп- 
ции объектного программирования, особенно применительно к визуальному 
программированию в операционной системе УЛпдо\5. Действительно, име- 
ется насущная необходимость автоматизировать действия, которые должны 
производиться при создании объекта и при его уничтожении. В частности, 
это касается начальных значений свойств объекта, которые нельзя инициа- 
лизировать при их задании, как это принято в языке С. Вызывать же каж- 
дый раз процедуру инициализации — дурной тон программирования!3. До 
сих пор во всех примерах программ я не использовал ни конструкторов, ни 
деструкторов. Однако этого нельзя сказать о компиляторе. Ведь определение 
адреса таблицы виртуальных функций — это как раз то самое действие, ко- 
торое должно производиться автоматически. Так-так, а с конструктором то 
мы уже встречались! Впервые с конструктором мы встретились в листин- 
ге 3.78. Это процедура заь_4010А0, которую мы отдельно разобрали в лис- 
тинге 3.79. Единственное назначение этой процедуры — записать в нача- 
ло объекта адрес правильной таблицы виртуальных функций. Но если мы 


13 При создании очередного объекта программист может забыть вызвать процедуру 
инициализации или же вызвать ее дважды. 
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определим конструктор явно и выполним там конкретные действия, то эти 
действия окажутся "в одной компании" с действиями по определению таб- 
лицы виртуальных функций. 


Перейдем к практическим действиям и рассмотрим следующую программу 
(листинг 3.82). В программе определен один класс а, в котором имеется од- 
на переменная, один виртуальный метод, а также специальные методы: кон- 


структор и деструктор. 





#1пс1о4е <зЕа1о.в> 
С1азз$ А { 
руб11с: 
1706 а; 
У1геца1 уо1а ра() {рг1пЕЁ ("%А\п", а); } 
А() {а=1; резпЕЁ("Сопзекосвог А\п");}; 
-А() {ре1пЕЕ ("Безекасеог А\п");}; 
}; 
уо1А та1л() 
{ 
А* А1; 
А1=пем (А); 
А1->ра(); 
Че1еее А1; 
}; 


В листинге 3.83 вы можете видеть дизассемблированный исполняемый код 
функции па1п. Код создан компилятором \У15ца| С++ без оптимизации. 


ТУ) 





‚ Сехе:00401000 — па1п ргос пеаг ; СОБЕ ХВЕЕ: $з6аг®+16Е?р 
. Сехё:00401000 уаг_18 = амога рег -188 

. Сехе:00401000 уаг 14 = Чмога рег -14в 

. Сехё:00401000 уаг 10 = @мога рег -101 

.Сехе:00401000 уаг С = амога рёг -0Сп 

‚сехе:00401000 уаг 8 = амога рёг -8 

‚ Сехё:00401000 уаг_ 4 = @мога рёг -4 

.Сехе:00401000 разв ебр 

.Сехе:00401001 пох ебр, езр 
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.Сехе 
.Сехе 
.Сехе 
.Сехе 
‚ Сбехе 
. Сехе 
.ТехЕ 
.Сехе 
‚ Сехе 
‚. Сехе 
„.СехЕ 


:00401003 
:00401006 
:00401008 
:00401005 
:00401010 
:00401013 
:00401017 
:00401019 
:0040101С 
:00401021 
:00401024 


.Сехе:00401026 


. Сехе 


:00401026 


.Сехе: 00401020 
. СехЕ:0040102Б 
.СехЕ:00401030 
.СехЕ: 00401033 


. СехЕ 
. СехЕ 


:00401036 
:00401038 


‚.Сехе:0040103В 
.Сехе:00401030 


.СехЕ 
. Сехе 
.Сехе 
.СехЕ 
.Сехе 
.СехЕ 
. Сехе 
„.СехЕ 
. Сбехе 
. СехЕ 
. Сехе 
. СехЕ 
.Сехе 
. Сехё 
. Сехе 
. Сбехе 
.Сехе 
.Сехе 


:00401040 
:00401043 
:00401046 
:00401049 
:0040104р2 
:0040104Е 
:00401051 
:00401054 
:00401059 
:0040105С 
:0040105Е 
:0040105Е 
:00401065 
:00401065 
:00401067 
:00401069 
:0040106А 
:0040106А 


заБ езр, 188 
разв 8 
са11 ??2@УАРАХТ@7, ; орегабог пем (1 
ааа езр, 4 
пох [ебр+уаг_8], еах 
стр [ебр+уаг_8], 0 
92 зроге 1ос_ 401026 
пох есх, [ебр+уаг_8] 
са11 зир_ 401070 
пом [ебр+уаг_14], еах 
Эр ЗПогЕ 1ос_ 401022 
1ос_ 401026: ; СОРЕ ХВЕЕ: _ма1т+17?3 
пох [ебр+Уаг_14], 0 
1ос_ 401020: ; СОБЕ ХВЕЕ: _ма1п+24?) 
оу еах, [ебр+уаг 14] 
поу [ебр+уаг_4], еах 
пох есх, [ебр+уаг 4] 
пох е@х, [есх] 
пох есх, [ебр+уаг 4] 
са11 Чмога рег [еах] 
пом еах, [ебр+уаг_4) 
ПОХ [ебр+уаг_10], еах 
пом есх, [ебр+уаг 10] 
по [ебр+уаг_С], есх 
ср [ебр+уаг_С], 0 
92 зрогЕ 1ос_40105Е 
разв 1 
по есх, [ебр+уаг_С] 
са11 заб 4010С0 
по [ебр+уаг_ 18], еах 
тр зПогЕ 1ос 401065 
1ос 40105Е: ; СОБЕ ХВЕЕ: _па1п+40?) 
ФУ (ебр+уаг_18], 0 
1ос_ 401065: ; СОБЕ ХВЕЕ: _ма1п+5С?) 
хог еах, еах 
пом езр, ебр 
рор ебр 
гееп 
_ма1п епар 
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Комментарий к листингу 3.83 


С Структура листинга нам, конечно же, знакома. Но я хотел обратить ваше 
внимание на моменты, которые я еще не освещал. Итак, из предыдущего 
материала очевидно, что ФУНКЦИЯ зо 401070 — это самый настоящий 
конструктор. Об этом говорит, во-первых, близость его к оператору пем. 
Во-вторых, и это тоже важно, после выполнения оператора пех осущест- 
вляется проверка, выделена в действительности была память или нет. 
Просмотрите внимательно листинги из разд. 3.2.4. Вы увидите, что такая 
проверка возникает только с появлением виртуальных функций. Но мы- 
то с вами уже знаем, что при наличии виртуальных функций компилятор 
создает конструктор, даже если его и не было в исходном тексте про- 
граммы. И вот это, пожалуй, является главным признаком вызова конст- 
руктора, потому что компилятор не желает допустить выполнения конст- 
руктора, если объект не был создан. 


С Перейдем теперь к концу функции. Обращает на себя внимание вызов 
процедуры зиь_4010с0. Ранее в подобных программах там стоял вызов 
функции 3 Егее, Который мы ассоциировали с оператором ае1ефе (см. 
листинг 3.74 и комментарий к нему). Очевидно перед нами самый нату- 
ральный деструктор, в чем мы убедимся в листинге 3.85. Замечу, что и 
тут компилятор не позволяет выполниться деструктору, если объект не 
был создан. 


С Что касается остального кода, то я надеюсь, что читатель сам легко опо- 
знает (после многократного обсуждения подобных фрагментов в преды- 
дущих листингах) в команде са11 амога рег [еах] вызов виртуальной 
функции 
А1->ра(). 


Посмотрим теперь, что у нас помещено в конструктор (листинг 3.84). 


$14 





.Сехе:00401070 зоБ_ 401070 ргос пеаг ; СОРЕ ХВЕЕ: _ма1п+1С?р 
. Сехе:00401070 уаг 4 = амога рёг -4 

.сехе:00401070 разв еьр 

‚Сехе:00401071 оу ебр, езр 

.6ехе:00401073 ра$В есх 

.бехе:00401074 по [ебр+уаг_4], есх 

.Бехе:00401077 по еах, [ебр+уаг 4) 

.6ехе:0040107А по Чиога рЕг [еах], оЕЁзеф оЕЁ 40710С 
.бехе:00401080 ПОХ есх, [ебр+уаг_4] 


.сехе:00401083 ПОХ Чмога рег [есх+4], 1 
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.Кехе:0040108А разр оЕЁзее аСопзегосбогА ; "Сопзегаског А\п" 


‚. Сехе:0040108Е са11 _ре1пЕЕ 
.Сехе:00401094 ааа езр, 4 

. Сехе: 00401097 поу еах, [ебр+уаг 4] 
.бехе:0040109А пох езр, ебр 
.Сехе:0040109С рор ебр 

.Сехе: 00401090 геёп 


.Сехе:0040109р2 зо 401070 епар 


Комментарий к листингу 3.84 


Листинг, несомненно, должен нас обрадовать. Посмотрите, перед нами уже 
знакомое: 

поу [ебр+уаг 4], есх 

поу еах, [ефр+уаг 4] 

шоу @мога рег [еах], оЕЁзеб оЕЁ 40710С 


Это же не что иное, как занесение адреса таблицы виртуальных функций в 
созданный экземпляр объекта. А далее: 

;задать значение свойства (а=1) 

пох мог рег [есх+4], 1 

;вызов функции рг1пЕЕ 

ра$В оЕЁзее аСопз&госбогА ; "СопзЕгос®вог А\п" 


са1.1 _ре1пЕЕ 


Но это же наш текст, который мы сами поместили в конструктор (см. лис- 
тинг 3.82). Собственно, мне больше нечего добавить — вся картина абсо- 
лютно ясна. 


В листинге 3.85 представлен дизассемблированный текст деструктора (точ- 
нее, той процедуры, из которой истинный деструктор и будет вызван) для 
программы из листинга 3.82. 





.Сехе:004010С0 зор 4010С0 ргос пеаг ; СОБЕ ХВЕЁГ: па1п+54?р 
. Сехе:004010С0 уаг 4 = амога рег -4 
. Сехе:004010С0 ага О = амога рёг 8 


.Сехе:004010С0 разв ебр 
„.СехЕ:004010С1 ОУ ебр, езр 
.Сехе:004010С3 разв есх 


.Сехе:004010С4 поУ [ебр+уаг_4], есх 
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.Сехе:004010С7 пох есх, [ебр+уаг 4] 
.Сехе:004010СА са11 зар 401070 
.Сехе:004010СЕ оу еах, [ебр+ага_0] 
.бехе:00401012 апа еах, 1 

. Сехе:00401005 32 зПогЕ 1ос_ 4010ЕЗ 
.Сехе: 00401007 ОУ есх, [ебр+уаг 4) 
. Сехе:00401010А рази есх 

. Сехе:0040100В са11 5) Егее 
.Сехе:004010ЕО ааа езр, 4 
.Сехе:004010ЕЗ 1ос _4010Е3:; ; СОБЕ ХВЕЕ: зор 4010С0+15?3 
. Сехе;004010ЕЗ поУ еах, [ебр+уаг_4} 
‚.Сехе:004010Еб оу езр, ебр 
.Сехе:004010Е8 рор ебр 
.Сехе:004010ЕЭ геп 4 


.Сехе:004010Е9 зар 4010С0 епар 


Комментарий к листингу 3.85 


В листинге заметим в первую очередь два вызова: зав 4010Е0 И }__Егее. 
Заглянув В зав 401020, мы убедимся, что там содержится просто текст, ко- 
торый мы поместили в деструктор (см. листинг 3.82). Таким образом, функ- 
ЦИЯ зоЪ 4010С0 предназначена для вызова процедур, необходимых при 
уничтожении объекта. Функцию 3 __Егее мы уже знаем — это просто реали- 
зация оператора де1ехе. Наконец, единица, которая посылается в функцию 
зор 4010С0 в качестве параметра, является признаком необходимости вызо- 
ва оператора де1ете. 


3.2.5. Еще об исследовании исполняемого кода 


О математических вычислениях 


Мы уже встречались с различными математическими вычислениями. Часто, 
для того чтобы сократить код или ускорить работу программы, компиляторы 
применяют различные приемы. С таким приемом, как вычисление на ста- 
дии компиляции, мы уже знакомились. Знаем мы также и возможности ис- 
пользования команд арифметического сопроцессора. О некоторых других 
приемах мы поговорим в данном разделе. 


В листинге 3.86 представлена программа, содержащая простое арифметиче- 
ское вычисление. Посмотрим, как решает поставленную задачу компилятор 
\УМ1биа! С+-+ при условии, что мы задаем опцию "создавать быстрый код". Ди- 
зассемблированный текст исполняемого кода представлен в листинге 3.87. 
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#1ос1о4ае <зЕАло.Н> 


#1ос1аае <мапаомз$.В> 


%У0о1А талп() 


{ 


ОМОВО а,Ъ,с; 
зсапЕ ("%А", ба); 
зсапЕ ("$а", &р); 
С= ((а+Ъ) /8) * (3*а); 
ре1пЕЁ ("%А\п", с); 





:00401000 
:00401000 
:00401000 
:00401000 
:00401003 
:00401006 
:00401007 
:0040100С 
:00401011 
:00401015 
:00401016 
:0040101В 
:00401020 
:00401024 
:00401028 
:0040102В 
:0040102Е 
:00401031 
:00401034 
:00401035 
:0040103А 
:0040103Е 
:00401041 
:00401044 
:00401044 


_па1п 
уаг 8 
уаг 4 

зар 
1еа 
разв 
разв 
са11 
]еа 
ра$В 
разв 
са11 
пом 
оу 
]еа 
[-) 554 
11001 
]еа 
разв 
разв 
са11 
хог 
ааа 
гесп 


_па1п 


ргос пеаг ; 


СОБЕ ХВЕЕ: 


56 аг++16Е?р 


Чмога рег -8 
ЯЧмога рег -4 
езр, 8 

еах, [езр+8+уаг_ 8] 
еах 

оЕЁзее ипк_ 408100 
_зсапЕ 

есх, [езр+10р+уаг_4] 
есх 

оЕЁзее ипк 408100 
_зсапЕ 
[езр+18П+Уаг_8] 
[езр+181+Уаг_4] 
[еах+есх] 


еах, 3 


есх, 
еах, 
еах, 
еах, есх 
еах, [еах+еах*2] 
еах 

ОЕЁзее ипк 4080ЕС 
_ре1пеЕ 

еах 

20% 


еах, 


езр, 


епар 
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Комментарий к листингу 3.87 


Обратим внимание, что адресация стековых переменных в данном фрагмен- 
те производится посредством регистра ЕзЗР. Итак, стековые переменные 
уаг_4 И уак_8 — это переменные а иь (см. листинг 3.86). Рассмотрим по- 
следовательность команд: 


поу есх, [езр+181+уаг_8] 
шоу е@х, [езр+18р+уаг_4] 


1еа еах, [еах+есх] 


Главное здесь — использование команды 1еа. О необычных свойствах этой 
команды мы уже говорили (см. табл. 1.2). Сейчас мы видим эту команду в 
действии. Вы часто будете встречаться с этой командой в тех случаях, когда 
необходимо оптимизировать арифметические действия. 


Далее — команда зпг еах, 3. Конечно, для нас не тайна, что это простое це- 
лочисленное деление на 8 (2 в степени 3). Данная команда выполняется 
много быстрее, чем тоту. Далее 1то1 еах,есх — умножить содержимое ЕАХ 
на содержимое Есх. И, наконец, опять команда 1еа: 1еа еах, [еах+еах*2], 
что означает просто умножение содержимого едх на 3. 


На этом заканчиваем обсуждение математических вычислений. С другими 
способами оптимизировать вычисления, в частности, с использованием би- 
товых команд, я надеюсь, вы легко справитесь при самостоятельном иссле- 
довании исполняемого кода. 


Другие конструкции 
Обработка исключений 


Механизмы обработки исключений на уровне исполняемого кода довольно 
сложны и в деталях могут значительно отличаться для различных компиля- 
торов. Но в мою задачу и не входит изучение этих механизмов. Я ставлю 
перед собой куда более скромные цели: познакомиться с некоторыми базо- 
выми принципами обработки исключений и тем, как это может проявляться 
в исполняемом коде. 


Обработка исключений, генерируемая компиляторами, основывается на так 
называемой структурной обработке исключений (Згиситеа Ехсериоп 
НапаИпв, ЗЕН). Механизм ЗЕН поддерживается на уровне операционной 
системы Уп4о\5. Итак, в основе обработки исключений лежат следующие 
факты. В операционных системах \УЛп4о\$ на основе процессора Ш\е| сег- 
ментный регистр Е$ играет особую роль. Он указывает на блок окружения 
потока\. Он называется еще ТЕВ (Тнгеаа Епупоптепе В1осК). В свою оче- 


14 Напомню, что в защищенном режиме сегментные регистры хранят не адреса, а 
селекторы. Селектор — это фактически номер в таблице дескрипторов, которые и 
определяют адрес. 
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редь, одной из Подструктур, которая находится в начале этого блока, являет- 
ся ТВ (ТЬгеаа шогтайоп ВюосКк) — информационный блок потока. Нако- 
нец, четырехбайтовая величина, находящаяся в самом начале структуры ТВ, 
является адресом структуры, которая, во-первых, содержит адрес обработчи- 
ка исключений, а во-вторых, адрес предыдущей подобной структуры. В дей- 
ствительности речь идет о связанном списке, но об этом подробнее мы по- 
говорим ниже (см. комментарий к листингу 3.89). 


Какие выводы можно сделать из сказанного: 
[С] каждый поток имеет свой обработчик исключений; 


С зная адрес, где находится указатель на обработчик исключения, програм- 
ма сама может установить свою процедуру обработки. 


По сути, эти два факта и положены в основу обработки исключений, ко- 
торые используют компиляторы, создающие исполняемый код для УМт4о\5. 
И хотя факты просты, сам механизм реализации исключений, как я уже го- 
ворил, может быть достаточно сложным. 


Когда я говорю о реализации компиляторами механизма исключений, то 
в первую очередь имею в виду пару таких операторов, реализованных 
в С++!5, как (гу... ехсере. Рассмотрим программу из листинга 3.88. 
Программа очень проста. Блок __ ку используется для того, чтобы обезопа- 
сить нас от возможного деления на 0 при вычислении частного от деления а 
на Ь. 





#1пс1а4е <5ЕА1о.6> 


#1пс1оае <и1п9омз. [> 


1пЕ па1п() 
{ 
106 а,Б; 
зсапЕ ("%Аа", ба); 
зсапЕЁ ("%а", &Ъ); 
__ 6ку { 
а=а/Ь; 
ре1пЕ Е ("%А\п", а); 
} 
__ехсере (0) 


15 Это стандарт для языка С++, поэтому все компиляторы С++ поддерживают эти 
операторы, хотя реализация может отличаться друг от друга. 
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{ 
релпЕЕ("Егког 1! \п"); 


}; 


гебагп 0; 


В листинге 3.89 представлен исполняемый код, предварительно дизассемб- 
лированный программой ГРА Рго. Программа была откомпилирована при 
помощи компилятора \У15а! С+- с установленной опцией "создавать быст- 
рый код". 


м 





$ехё:00401000 —ма1п ргос пеаг ; СОБЕ ХВЕЕ; зкаг%+16Е?р 
фехе:00401000 уаг 20 = амога рег -208 
фехе:00401000 уаг 1С = Чмога рег -1СВ 
$ехё:00401000 уаг 18 = Ямога рег -18В 
$ехё:00401000 уаг 10 = Чмога рег -108 

сехё: 00401000 уаг 4 = @мога рёг -4 

сехе: 00401000 ра$В ебр 

сехе:00401001 пох ебр, езр 

сехе:00401003 разр ОРЕЕЕРЕЕЕВ 
сехе:00401005 ризй оЕЕзее рубе 408110 
$сехё:0040100А ризй оЕЁЕзес _ ехсерЕ рапа]ег3 
сехё:0040100Е ОУ еах, 1агде Е5$:0 
сехё:00401015 разв еах 

сехе:00401016 поУ 1агае Е5:0, езр 
сехе:00401010 5) езр, 108 

сехе:00401020 разв ерх 

сехё:00401021 разв е$1 

сехе: 00401022 разв еа1 

фехе: 00401023 пох [ебр+уаг_18], езр 
сехё: 00401026 1еа еах, [ефр+уаг_1С] 
$ехё:00401029 разв еах 

сехё:0040102А разв оОЕЁЕзеф ар 0 ; "за" 
сехе:0040102Е са11. _зсапЕ 

сехе:00401034 ]еа есх, [ебр+уаг_20] 
сехё:00401037 разв есх 

сехё:00401038 разй ОЕЁзее ар_0 ; "за" 
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.Сехс: 
.Сехе: 
. Сехе: 
. Сехс: 
.Сехе: 
. Сехе; 
.сехс:; 
.Сехс: 
. Сехё: 
.Сехе: 
.Сехс: 
.Сехс: 


.Сехе: 
.сехе: 


‚Сехе: 


. Сехе; 
.Сехе: 


.Сехе: 
. Сехе: 
.Сехс: 
.СехЕ: 
.Сехс: 
. Сехс;: 
.Сехе: 
‚.Сехс: 
.Сехс: 
.Сехе: 
.Сехс: 
.Сехе: 
.Сехе: 
.Сехс: 
.Сехе: 


Комментарий к листингу 3.89 


00401032 
00401042 
00401045 
0040104С 
00401042 
00401050 
00401053 
00401056 
00401057 
0040105С 
00401061 
00401064 


00401066 
00401066 


00401068 


00401069 
00401069 


0040106С 
00401071 
00401076 
00401079 
00401079 
00401080 
00401082 
00401085 
0040108С 
00401082 
0040108Е 
00401082 
00401091 
00401092 
00401092 
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са11 _зсапЕ 
ааа езр, 108 
по [ебр+уаг_4], 0 
ПОХ еах, [ебр+уаг 1С] 
саа 
1а1у [ебр+уаг 20] 
поу [ерр+уаг_1С], еах 
разв еах 
разв ОЕЁзее ап "%а\п" 
са11 _ре1пЕЕ 
ааа езр, 8 
пр ЗВогЕ 1ос_401079 
| хоЕ еах, еах 
гесп 
| оу езр, [ебр-18Ъ] 
разв оЕЁзее аЕггог1 ; "Еггког 1! \п" 
са11 _ре1пеЕЁ 
ааа езр, 4 
1ос_ 401079: ; СОРЕ ХВЕЕ: па1п+64?) 
пох [ебр+Уаг_4], ОЕЕЕЕЕЕЕЕВ 
хог еах, еах 
по есх, [ебр+уаг 10] 
оу 1агае Е5:0, есх 
рор еа1 
рор е$1 
рор ерх 
по езр, ебр 
рор ерр 
гесп 
_па1п епар 


С Обратите внимание на наличие стандартного пролога функции, хотя в 
обычных случаях при оптимизированной компиляции стандартные про- 
логи и эпилоги опускаются. Обратите также внимание, что ТРА Рго ука- 
зывает аж пять стековых переменных, хотя в исходном коде программы 
используются всего две. Бегло просмотрев код, мы легко определяем 
(например, по вызову функций зсапЕ), ЧТО уах_1С соответствует в тексте 
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переменной а, а уаг_20 — переменной Ь. Хотя в тексте программы мы 
можем ограничивать с помощью блока ку лишь часть кода функции, 
но, по сути, этот блок воздействует (преобразует) на всю функцию. 


(С Следом за прологом идет интересная последовательность. Приведу эти 
команды еще раз и прокомментирую. 


разр ОЕЕЕЕГЕЕЕЕР ;уаг_4 

разр оЕЁзеб рубе 408110 ; 

ризй оЕЁзеё _ ехсере Папа1ек3 ; адрес нового обработчика исключений 
поу еах, 1агае Ё$:0 ; адрес старой структуры обработки 
разп еах ;уаг_10 

ОУ 1агае Е$:0, езр ; адрес нового обработчика 


Вначале в стек кладется константа, значение которой произвольно. Ниже 
это значение будет изменено. В действительности это значение в даль- 
нейшем должно определять уровень вложенности блока __егу. Затем в 
стек помещается адрес некоторой глобальной ячейки памяти. Третьим 
идет адрес обработчика исключений, сформированный компилятором. 
Последние три команды очень интересны. В стек помещается адрес ста- 
рой структуры обработки исключений, а затем адрес всей группы из че- 
тырех двойных слов (это новая структура обработки исключений) в стеке 
помещается в 5:0. Данная операция есть не что иное, как добавление 
новой записи к связанному списку. Этот список может содержать целую 
цепочку обработчиков исключений. Последняя структура в списке долж- 
на содержать в адресе обработчика исключений значение ОЕЕЕЕЕЕЕЕН. 
Замечу также, что в стеке находится и старое значение ЕВР. 


С Обратим внимание на инструкцию моу [ебр+уах_4],0. Она стоит перед 
самой командой выполнения действия деления. Она задает уровень вло- 
женности блока __ гу. Замечу, что вложенность определяется количест- 
вом блоков _ гу в функции в независимости от того, находится один 
блок внутри другого или нет. Следите за содержимым уаг_4, т. к. это 
ключ к структуре _ гу блоков функции. 


С Значение регистра ЕЗР сохраняется на момент полного формирования 
стека функции: мох [ебр+уаг_18],езр. Это значение используется для 
восстановления стека в блоке _ ехсерх (см. ниже). 


С Не останавливаясь на стандартных ассемблерных командах и вызове 
функций зсапЕ И рк1реЕ, перейдем к блоку _ ехсере. Найти начало и 
конец этого блока достаточно легко, т. к. перед ним располагаются неиз- 
менные команды 
Этр зПоге 1ос 401079 
хог еах, еах 


геёп 
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Эти команды будут во всех вариантах оптимизации компилятора У15ца] 
С++. Конец __ехсерх блока определяется командой }пр. 


Если обратиться к компилятору ВоЙапа С++ 5.0, то, несмотря на то, что 
здесь реализован несколько иной механизм обработки исключений, внеш- 
ние признаки исключений довольно прозрачны и легко распознаются. Во- 
первых, это наличие в начале процедуры блока установки исключения 
(замена значения, хранящегося по адресу Е5:0). Во-вторых, наличие в цен- 
тре процедуры фрагмента, на который отсутствует переход и который обхо- 
дится командой МР. Наконец, наличие в конце процедуры команды восста- 
новления старого значения Ез:0. 


Идентификация главной функции и начальный код 


Ранее мы обращались к главной функции — к функции, с которой начина- 
ется программа, так, как будто узнать ее адрес не составляет никакого труда. 
Да, действительно, адрес функции тазп в исполняемом коде программы, 
скомпилированной с помощью компилятора С++, ГРА Рго определяет без 
труда. Но, во-первых, ГРА Рго не всегда под рукой, а во-вторых, есть и 
другие языки программирования. 


В программе на любом алгоритмическом языке программирования есть не- 
который начальный набор команд. Повторюсь, для С++ это функция таз 
ИЛИ И1пМа1п. Однако не надо считать, что в исполняемом коде именно с 
этого набора команд и начинается выполняться программа. Как правило, 
перед этим компилятор вставляет некоторый стартовый код, содержащий 
вызовы библиотечных и АР[-функций. Этот код выполняет некоторую на- 
чальную подготовку: запрашивает у системы память, определяет параметры 
командной строки, получает идентификатор исполняемого модуля и др. 
И только после этого управление передается тем начальным командам, о 
которых мы говорили. Как я уже отмечал, дизассемблеры (и отладчики) не 
всегда могут определить, где начинаются эти команды. 


Замечание 


Если говорить о компиляторе Миа! С++, то исполняемый код в случае консоль- 
ной программы начинает выполняться со стартовой функции па1пСВТ$ЕагЕтр, 
которая затем передает управление функции та1п. Для приложений С выпол- 
нение начинается со стартовой функции И1пМа1пСВТ5$агеар, которая опять же 
в конце передает управление функции И1пМалп. Существует методика, позво- 
ляющая создавать исполняемые модули, которые начинают исполняться сразу с 
функции ма1п (И1пМа1п). Это приводит к значительному уменьшению размера 
исполняемого модуля (на размер стандартных библиотек). Однако такая практика 
случается совсем не часто, т. к. в этом случае программист лишает себя возмож- 
ности использовать стандартные библиотеки языка С. 
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Итак, чтобы искать начало пользовательской части исполняемого кода, 
нужно знать, как происходит этот вызов. Начнем с консольного приложе- 
ния на языке С++. Прообраз функции паз в общем случае имеет вид: 


106 пазп( 1106 агас[ , спаг *агау[ ] [, спаг *епур! ] ]]); 


То есть функция имеет в общем случае три входных параметра. Это важный 
признак. Вот типичный пример вызова функции пазп из исполняемого ко- 
да, созданного компилятором У15ца! С++: 


пох еах, @мога 404724 
ФТ Чиога_40А728, еах 
ра$п еах 

разй  @мога 40А71С 

ризп  @мога_ 40А718 

са11 — ап 

ааа езр, ОСП 


Обратите внимание, что все три параметра оказались глобальными пере- 
менными. Это существенный момент. Очень важно "осмотреться" вокруг и 
поизучать, какие библиотечные и АР[-функции вызываются перед и после 
вызова функции па1п. Зная это, вы легко сможете найти нужное место. 
Особо отмечу вызов функции АР сеЕСоптапат1пе. С ее помощью можно 
получить параметры командной строки. Именно эти параметры затем пере- 
даются во втором параметре функции па1п. Вы можете спросить меня о том, 
что произойдет, если функция пазп не будет иметь параметров или парамет- 
ров окажется два или один? Ничего не произойдет, и вызов будет происхо- 
дить точно так же. Так что критерии поиска никак не меняются. 


В случае с ВоЙапа С++ все гораздо сложнее. Вход в функцию па1т осуше- 
ствляется косвенным вызовом вида саТл, [Е51т+м]. В том случае, если дизас- 
семблер не определяет функцию мазп автоматически, вам придется исполь- 
зовать отладчик. Но замечания по поводу предварительного вызова 
библиотечных и АР!-функций (опять же сесСоптапаЪ1пе) вполне годятся и 
в этом случае. Зная эти функции, вы сможете выйти на нужный участок, а 
затем на вызов типа саТт, [ЕЗт+м]. Здесь опять придется использовать от- 
ладчик и точки останова, т. к. ручной анализ того, по какому адресу осуще- 
ствляется вызов, утомителен. 


Рассмотрим теперь вызов функции и1пМа1п. Вот прообраз этой функции: 
106 ИМ1пМа1т (НТМОТАМСЕ ПТпзеапсе, 

НТМОТАМСЕ ПРгеуТпз$апсе, 

ТРЗТВ 1рСиатапе, 

2106 осмабром 
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Как видим, функция имеет аж четыре параметра. И это также является важ- 
ным признаком поиска начала программы. Вот типичный фрагмент вызова 
главной функции и1пМазп Из исполняемого модуля, созданного компилято- 
ром У15иа! С+-: 


рай еах 
разв Чмога рег [ебр-201] 


разй е51. 

разп е51 ; 1РМодо1еМаме 
са11 еа1 ; СеЕМоди1еНапа1еА 
рай еах 

са11 _\110Ма10616 ; И1пМазп (х,х,х,х} 
оу еЯ1, еах 

пох [ебр-2Сп], еа1 

стр [ебр-1Сп], е51 

912 ЗПоге 1ос_401508 

рай еаз ; 106 

са11 _ех1 


Фрагмент, который мы видим, настолько характерен, что стоит его запом- 
нить. Он дает безошибочный критерий поиска входа в начальный код ис- 
полняемой программы. Что касается вызова функции иИ1пМа1зп в модуле, 
созданном компилятором ВойЙапа С++, то здесь опять вызов осуществляется 
посредством команды САТТ, [Е5т+М№]. Причем перед этим вызывается АР|- 
функция сбеЕМоа1еНапа1е. 


В Реры исполнение начинается с главного модуля программы (ъед1п...епа.), 
но перед этим стоят вызовы одной или нескольких процедур, осуществ- 
ляющих начальную инициализацию. В частности, в одной из этих процедур 
вызывается все та же АР[-функция бееМодь1еНапа1е. 


Глава 4 





Отладчик Зо СЕ 


В настоящее время отладчик Зо ШСЕ существует для всех операционных 
систем семейства \УМт4о\5 и даже М$-0ОО$. Прежде всего, замечу, что 
Зо1СЕ — это отладчик уровня ядра (Кегпе! по4е 4ебиввег). С его помошью 
можно отлаживать любые программы, исполняемые в операционной систе- 
ме, в том числе сервисы и драйверы, работающие в нулевом кольце защиты. 
По причине тесного взаимодействия отладчика с операционной системой с 
его помощью можно получить много системной (я бы сказал, довольно 
личной) информации о функционировании операционных систем. Поэтому 
Зо1СЕ просто незаменим для тех, кто изучает внутренние механизмы 
функционирования операционной системы \У!тдо\5. В среде исследовате- 
лей кода Зо СЕ считается лучшим! отладчиком. 


Сам отладчик дополняется также утилитами, главная из которых — это 
Зутбо! ТГоа4ег (загрузчик отладочной информации). Программа Зупбо! 
Гоа4ег (]оа4ег32.ехе) загружает исполняемый модуль в память и осуществля- 
ет вызов окна отладчика ЗоТСЕ, другими словами, устанавливает точку ос- 
танова на точку входа программы. При наличии в исполняемом модуле от- 
ладочной информации, распознаваемой загрузчиком, он также загружает ее 
в отладчик. Отладчик позволяет отлаживать исполняемый код не только на 
автономном компьютере, но и производить удаленную отладку (гетое 4е- 
Биррег) — с удаленного компьютера, соединенного с первым посредством 
СОМ-порта. 


Установка Зо1СЕ — это отдельная статья. Поскольку отладчик работает на 
уровне ядра, то разработчикам постоянно приходится дорабатывать свой 
продукт, дабы его можно было использовать со всеми релизами операцион- 
ных систем \У/тдо\5. И, тем не менее, Интернет полон статей и обсужде- 
ний, посвященных проблемам установки ЗОСЕ и устранению различных 


1 Название отладчика Зо СЕ — это указание на то, что отладчик в любой момент 
может "заморозить" (от англ. © ке — замораживать) систему и дать полную инфор- 
мацию и по системе, и по всем работающим в ней приложениям. 
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проблем во время работы этого продукта. Чтобы не загромождать книгу, я 
опущу вопросы установки отладчика и отошлю заинтересованного читателя 
к сайту поддержки Н@р://мм\м.сотримаге.сот, где, в частности, после реги- 
страции вы можете получить руководства по Зо 1СЕ (Кеегепсе Ошае). От- 
мечу также русскоязычный сайт И@р://\м\у\.мазт.ги, где можно найти мате- 
риалы и обсуждения, касающиеся различных технических проблем, возни- 
кающих при установке Зо СЕ. 


Моя цель, которую я преследую в данной книге, — дать вводное руково- 
дство по отладке приложений при помощи Зо СЕ. По этой причине я на- 
строен довольно полно описать команды Зо СЕ, чаще всего используемые 
при отладке обычных приложений, а также привести примеры отладки при 
наличии в исполняемом модуле отладочной информации и в отсутствие по- 
следней. 


В настоящей главе все примеры и описания рассматривались мной по от- 
ношению к операционным системам УМ тдо\$ ХР и \УМшао\5 Зегуег 2003. 


4.1. Основы работы с Зо СЕ 


В данном разделе я предоставлю читателю основные сведения, которые по- 
могут ему начать работу с этим мощным инструментом. 


4.1.1. Запуск и интерфейс 


Главное окно Зо СЕ 


При появлении окна Зо СЕ все системные функции оказываются "заморо- 
женными", поэтому для того чтобы изобразить окно ЗоВ1СЕ, мне пришлось 
поставить рядом два компьютера и срисовать его внешний вид (рис. 4.1). 


Окно отладчика Зо СЕ, которое мы будем называть еще главным окном, 
может появляться в четырех случаях: 


С) по нажатию комбинации клавиш <СИ>+<)>. Данное действие приведет 
к вызову окна отладчика в любом случае при выполнении произвольной 
программы. Вы, таким образом, можете в любой момент посмотреть со- 
стояние системы и исполняемых приложений; 


С при загрузке какого-либо приложения в память с помошью программы 
Гоа4ег32.ехе. При этом происходит прерывание процесса загрузки как раз 
на точке входа в исполняемый модуль, и вы можете продолжить выполне- 
ние приложения в каком-либо из режимов отладчика с самого начала; 


С при выполнении условия одной из точек останова, которую вы установи- 
ли ранее в окне отладчика. Отладчик покажет при этом то самое место, 
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которое стало причиной прерывания. Большим преимуществом отладчи- 
ка Зо СЕ является возможность одновременной работы с несколькими 
приложениями. Вы можете устанавливать точки останова сразу для не- 
скольких приложений; 


О кроме этого, окно ЗоЙ1СЕ может появляться при возникновении систем- 
ной ошибки или крахе системы (синий экран). 


ЕАХ=РЕОРРС50 ЕВХ-РРОРЕВО0 ЕСХ=00024А1$2 Е0Х=80010031 51-805 446А0 
| ЕС! = 80544900 ЕВР=80544250 Е5Р=80544744 ЕР=806 СЕРАА о 91; 2АрСс 
С5=0005 05=0023 $5=0010 Е5=0023 [-5=0030 65=0000 


то $714 8 
$14 $75 6 
$12 $76 0 
Е. 577 6 
паек 2344 —————Щще 


010:00405344 С8 85 06 Еб 34 30 00 00 -РР 45 С0 ВА 02 00 00 00 
010:00403354 656 С? 45 84 2С 9064 00 - 6А 00 86 С6 ЕЗ РГ 55 00 
010:00403364 00 80 95 80 РВ РЕ ЕЕ 88. СВ 88 Сб Е 6С 53 00 00. 
910:00403374 80 95 80 ЕВ ГЕ РЕ 88 СВ. 86 45 80 28 85 96 00 00 , 


016 :00473008 НОР 

016 :0047300С  РУ$Н ЕВР 

016 :00473008 МОУ ЕВР , Е5Р 

016 :00473002  РИЗН ЕВХ 

018 :00473040 МОУ ЕВХ ‚ [ЕВГ : 0$] 
0165 : 00473013 САБ 190401440 

018 :00473018 — АПО ЕАХ , 0000001С. 


ЕгатеЕВР —Ве ЕР ——бутз — буто! 


00127268 00401040 —Н МИПВАЕ! .4ех{+0007200С 
0012РЕРО 00000000 НН МАПВАЕ! „.1ех{+0049 


{РАЗУМЕ ) — КТЕВ(84044020} —110(0648) — УйпВАМ! .1ех+00072008 


11062000 $4Е09966 0230 ЕЗАЗА 
14740000 $40Е6670 020С УУНОЗТ 
12001000 84060440 0324 $УНО5Т 
13022000 84256006 038С ЗУНО$Т 
13774000 834074000 0305 $Р001.$%У 
14000000 84045600 0438 ОУВЗУС 


: м + 


Егйег а соичтапо (Н 1ог НЕСР \упкаг 





Рис. 4.1. Главное окно Зо СЕ 


Итак, окно отладчика Зо ГСЕ представлено на рис. 4.1. В главном окне рас- 
полагаются еще несколько окон, которые содержат различную информацию. 
Количество таких окон может быть различно. Вы по своему усмотрению 
можете добавлять или удалять эти окна в главное окно. На нашем рисунке 
представлены наиболее востребованные окна отладчика. Особо отмечу, что 
вы можете не только просматривать информацию в этих окнах, но и менять 
их содержимое, например, содержимое регистров процессора. Однако делать 
это следует с большой осторожностью, т. к. это может привести к непред- 
сказуемому поведению приложения и, самое главное, всей системы. Итак, 
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обратимся к рассмотрению окон отладчика, переходя по очереди от самого 
верхнего окна к нижним окнам (см. рис. 4.1). 


О Окно регистров. В окне перечисляются все регистры, в том числе и сег- 
ментные регистры (кроме регистров сопроцессора), и их содержимое. 
Представлен в окне и регистр флагов, причем каждый флаг обозначен 
отдельной буквой. Если флаг изменился в последней операции, то он 
изображается заглавной буквой и другим цветом (цвет на черно-белом 
рисунке изобразить невозможно). 


С Окно регистров сопроцессора. В окне представлено содержимое всех 
восьми регистров сопроцессора. 


С Окно данных. Окно предназначено для представления содержимого об- 
ласти памяти, как в байтовом, так и в АЗСП-виде. Можно прокручивать 
содержимое окна, просматривая, таким образом, произвольные области 
памяти. 


СО Окно кода. Здесь представлен дизассемблированный код, который также 
может прокручиваться в окне. Если загружаемое вами приложение со- 
держит отладочную информацию, распознаваемую Зо В1СЕ, то в этом ок- 
не вы увидите и текст программы на языке высокого уровня. 


С Окно стека. В окне стека представлено не все содержимое стека, а только 
стековый кадр, связанный непосредственно с работой данного приложения. 


С Командное окно. В окне можно набирать многочисленные команды от- 
ладчика Зо СЕ. В частности, из рисунка мы видим, что, набрав команду 
н, можно получить помощь: список команд отладчика. Для получения 
информации по конкретной команде следует набрать н и имя команды, 
например, так: н вупа. 


При работе в главном (командном) окне для управления отладчиком можно 
использовать команды, которые, как я уже сказал, можно набирать в ко- 
мандном окне, и специальные управляющие сочетания клавиш. Предусмот- 
рено также использование стандартной мыши и контекстного меню. 


Обратите также внимание на самое нижнее окно — это окно или панель 
подсказки. При наборе в командной строке какой-либо команды окно под- 
сказки поможет вам правильно набрать эту команду и ее параметры. В част- 
ности, будут перечислены все команды, которые начинаются с тех симво- 
лов, которые вы уже набрали. Кроме этого, в правом углу окна отладчик 
всегда показывает текущий процесс. На этот важный момент всегда обра- 
шайте внимание, чтобы не перепутать приложения. Мы вернемся к этому 
вопросу в разд. 4. 1.3. 


Кроме перечисленных выше окон, можно использовать также окно сле- 
жения — в нем отслеживаются значения переменных, которые указаны в 
команде индтсн, окно регистров ММХ, окно локальных переменных. 
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Режимы работы отладчика 


После установки отладчика Зо СЕ вы можете выбрать пять способов за- 
пуска: 


С ПОбаШе — отладчик не запускается; 


С Мапиа! — отладчик не запускается автоматически. Для запуска следует 
применить команду Мее зсагЕ пе1се. В каталоге, куда инсталлируется 
Зо1СЕ, есть пакетный файл пИсе.ба{ с этой командой. Данный режим 
наиболее безопасен, но в нем невозможно выполнять отладку драйверов 
устройств на этапе загрузки; 


С АщотаНс — отладчик запускается автоматически. В этом режиме, одна- 
ко, нельзя отлаживать драйверы режима ядра; 


О режимы Зу$ет и Воо{ — в обоих случаях отладчик запускается автомати- 
чески. Отличие режимов друг от друга заключается в порядке загрузки 
системных и загрузочных драйверов. 


4.1.2. Загрузчик (Гоадег) 


На рис. 4.2 представлено главное окно программы [юоа4ег32.ехе, предназна- 
ченной для загрузки в отладчик исполняемых модулей. Данная утилита уме- 
ет также извлекать из отлаживаемых модулей отладочную информацию, ес- 
ли она имеется, и передавать ее отладчику ЗоЙ1СЕ. Загружая отлаживаемый 
модуль, данная утилита устанавливает точку останова на вход в программу. 


Загрузка исполняемого модуля 
Для того чтобы загрузить в отладчик исполняемый модуль, следует: 


1. Открыть его при помощи пункта меню ЕйЙе | Ореп. Можно для этой цели 
воспользоваться кнопкой Ореп на панели инструментов. 


2. Выбрать пункт меню Моше | Та. Можно также воспользоваться кноп- 
кой 029 Зутьо5 на панели инструментов. При этом загрузчик вначале 
транслирует найденную им символьную информацию в файл с расши- 
рением птз и таким же именем, как имя программы, а после загружает 
исходный исполняемый модуль вместе отладочной информацией в от- 
ладчик ЗоВ[СЕ. В случае если отладочная информация отсутствует, за- 
грузчик сообщит об этом и предложит выбрать: загружать или нет иссле- 
дуемый модуль в отладчик. Трансляцию отладочной информации (т. е. 
создание файла с расширением птз$) можно осуществить и отдельной 
командой: при помощи пункта меню Модше | Тгапжме или кнопки 
Тгап же на панели инструментов. 


Список 10а4ед Зупфо]$ содержит названия загруженных модулей. Обратите 
внимание на столбец ЗУМ=. При загрузке исполняемого модуля здесь будет 
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содержаться объем загруженной символьной информации. Модули, не со- 
держащие отладочной символьной информации, в список Шл0а4ей ЗутБо не 
заносятся. 


*. ЗОРЧСЕ ЗутроН.овае 


\КЕРМЕТЗ2 
8” ОЗЕКЗ2 
8 6012 
бы поки! 
`НАЕ 





Рис. 4.2. Программа-загрузчик Гоадег3З2.ехе 


Параметры загрузки 


После того как модуль, предназначенный для исследования в отладчике 
ЗОШСЕ, открыт, можно установить параметры загрузки. Для этого исполь- 
зуется пункт меню Модше | $е#т2$. Окно, где можно установить параметры 
загрузки, изображено на рис. 4.3. Оно содержит четыре вкладки. Разберем 
их подробнее. 


С Вкладка Сепега1: 


» поле редактирования Соттап Шпе агритеп{$ — здесь можно задать 
параметры командной строки, с которыми будет запускаться в отлад- 
чике исследуемая программа; 


» поле редактирования Зоигсе Ме зеагсй ра — здесь указываются пути 
поиска файлов, которые связаны с отлаживаемым модулем; 
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поле редактирования ОеашЕ зоигсе Ше зеагсй ра — здесь задается 
основной путь для поиска файлов. Отладчик всегда вначале ищет 
файлы согласно полю Зоигсе Ше зеагсй ра и только потом использу- 
ет данное поле; 


если флажок РготрЕ {юг пи5$$те зоигсе Ше$ установлен, то загрузчик 
при необходимости сообщит вам, что не все файлы, нужные для от- 
ладки исполняемого модуля, могут быть загружены. В частности, если 
отсутствует отладочная информация, вам будет предложено продол- 
жать или не продолжать выполнять загрузку исполняемого модуля в 
отладчик; 


флажок Мшише Гоафег оп зиссез {и 1оа4 используется для минимиза- 
ции загрузчика в памяти после загрузки исполняемой программы в 
отладчик. 


О Вкладка БеБизош?. Позволяет менять некоторые текущие параметры от- 
ладки: 


переключатели Гоа@ зушро! шогтаНоп ошу и [0а9 ехесшаШе позволя- 
ют загружать в отладчик только отладочную информацию либо и от- 
ладочную информацию, и исполняемый модуль соответственно; 


флажок З0р а \УУшМашт, тат, ОИМаш ес. позволяет устанавливать 
точку прерывания в начало пользовательской части исполняемого мо- 
дуля. В отсутствие отладочной информации точка прерывания уста- 
навливается в начало выполнения программы. 


О С помошью вкладки Тгапайоп задаются параметры трансляции отла- 
дочной информации исполняемого модуля: 


переключатель Ри бИс$ ощшу — транслировать только внешние имена; 


переключатель Туре иогтаНоп ощу — транслировать только инфор- 
мацию о типах переменных; 


переключатель Зупфо!5$ ощшу — транслировать только символьные имена; 


переключатель Зупфо|$ апб $оигсе соде — транслировать всю отладоч- 
ную информацию; 


переключатель РасКаре зоигсе \Ий утро! {а Ше — сохранять оттранс- 
лированную информацию в файле формата ММ5. 


СО Вкладка Модше$ апа ЕЙез. Здесь можно перечислить все файлы и их ме- 
стоположение, которые будут загружены вместе с загружаемым испол- 
няемым модулем. Вы можете перечислить здесь все файлы, содержащие 
отладочную информацию. Специальным переключателем можно времен- 
но заблокировать загрузку того или иного файла. 
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Рис. 4.3. Окно установки параметров загрузки отлаживаемых модулей 


4.1.3. Некоторые приемы работы с Зо СЕ 


Начало работы. Процессы 
Рассмотрим основные моменты работы с Зо СЕ. 


Мы работаем в многозадачной операционной системе. Программа, которую 
вы хотите исследовать при помощи ЗоВ[СЕ, после загрузки станет всего 
лишь одним из многих процессов. Вы должны четко знать, с каким процес- 
сом работаете. Не перепутайте процессы, это может привести к зависанию 
всей системы. Отладчик показывает текущий процесс в правом углу окна 
подсказки. 


При загрузке приложения при помощи программы [оа4ег32.ехе остановка 
происходит на начале выполнения программы. При этом созданный про- 
цесс оказывается текущим. Так что вы можете спокойно трассировать за- 
груженное приложение (см. разд. 4.2.2, команды трассировки). Однако когда 
вы закроете окно отладчика (клавиша <Е5>) и снова вызовете его, то дан- 
ный процесс уже не будет текущим. Каждый запушенный процесс имеет 
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свое виртуальное адресное пространство (контекст процесса). Все команды, 
так или иначе связанные с адресами, относятся к конкретному адресному 
пространству. Например, команда р 05$:004080АЕ выдаст содержимое памяти 
для конкретного виртуального адресного пространства — для текущего про- 
цесса. Для того чтобы работать с адресами конкретного процесса, следует 
сделать процесс текущим. Для этого используйте команду Аров (описание 
команды см. в разд. 4.2.2, информационные команды): 


АООВ 058 


Здесь 058 — это идентификатор процесса (Ргосезз 14епийег, РПО), значение 
его можно узнать, если использовать команду дров без параметров. 


Основным средством исследования исполняемого кода являются точки ос- 
танова. Надо четко понимать, куда вы ставите точку останова, т. е. к какому 
процессу (потоку) относится данная точка останова. В частности, это каса- 
ется точек останова на вызов функции АРТ. Когда создаете такую точку ос- 
танова, всегда при помощи условной конструкции указывайте, к какому 
процессу она относится. Для этого используйте функцию ртр, которая воз- 
вращает текущий идентификатор процесса. Значение же идентификатора 
можно получить с помошью все той же команды Аорв. Пример создания 
условной точки останова на АР]!-функцию схеазей1паомЕх: 


ВРХ СгеабемлпаомЕх 1Е (РТО==0х58) 


Еще раз подчеркнем, что значение идентификатора для интересующего нас 
процесса можно определить при помощи команд АООв или РВОС. Для того 
чтобы установить такую точку останова, совсем не требуется делать интере- 
сующий нас процесс текущим. 


Точки останова 


При исследовании конкретного исполняемого кода одной задачи всегда яв- 
ляется поиск нужного места в программе. При отсутствии текста на языке 
высокого уровня, а так почти всегда и бывает, если вы только не отлаживае- 
те собственный программный проект, незаменимым средством являются 
точки останова. 


Одноразовые точки останова 


Одноразовые точки останова функционируют только один раз. Фактически 
такая точка останова — это строка в окне кода, на которую указывает кур- 
сор (подсвеченная строка). Перемещается курсор при помощи команды п. 
Команда НЕВЕ (или нажатие клавиши <Ё7>) выполняет исполняемый код, 
начиная с текущей команды и до отмеченной таким образом строки. Имей- 
те в виду, что команда НЕВЕ набирается из окна кода, куда вы должны пред- 
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варительно перейти (клавиша <Е6>). Можно также воспользоваться коман- 
ДОЙ С аааге5$, И Тогда код будет выполняться до адреса ааагез$. 


Постоянные точки останова 


Типичным примером постоянной точки останова является точка останова на 
конкретной команде (конкретный виртуальный адрес процесса). Для ее ус- 
тановки следует выйти в окно кода и использовать команду врХ без пара- 
метров. Вы можете двигаться по коду и устанавливать точки останова по 
нужным адресам. При этом строки, на которые устанавливаются точки пре- 
рывания, подсвечиваются. Точно такого же результата можно достигнуть, 
если воспользоваться клавишей <Е9>. Убрать точку останова можно также 
повторным запуском команды врРХ на уже поставленной точке останова или 
нажатием клавиши <Е9>. 


К данным точкам останова применима общая схема управления точками 
останова: 


С] вь — получить список точек останова с номерами; 

С] вс п — удалить точку останова с заданным номером; 

С) вс * — удалить все точки останова; 

С] ВЕ п — редактирование точки останова с заданным номером. 


Наконец, если вы знаете адрес, куда хотите поставить точку останова, то 
можно использовать этот адрес в команде врх. Например, ВРХ 
0008:806СЕЕАВ. Разумеется, повторное использование команды врх с тем же 
адресом удаляет точку останова. Не забывайте, что точка останова на адрес 
команды относится к конкретному адресному пространству, т. е. конкрет- 
ному процессу. 


Условные точки останова 


В условных точках останова указываются те условия, при наступлении кото- 
рых точка должна активизироваться. Невозможно поставить две точки оста- 
нова на один адрес или на одну АР! -функцию, но вы можете при помощи 
условных конструкций учесть разные варианты вызова одной и той же точ- 
ки останова. Типичные примеры использования условных точек останова 
представлены далее. 


Пример 1 


Точка останова на конкретный адрес срабатывает, только если содержимое 
регистра вАх принимает указанное значение. 


ВРХ 0008:806СЕЕРАВ 1Е(ЕАХ==406090) 
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Пример 2 


Маленькое исследование с точкой останова на вызов функции меззадеВох 
(рассмотрено приложение УМ тКаг). После запуска приложения УМтКаг вы- 
зовем окно ЗОЙ[СЕ и определим идентификатор приложения, используя 
команду Аррв. Идентификатор оказался равным 0х328. Пишем следующую 
команду создания условной точки останова: 


ВРХ МеззадеВохА 1ЕЁ (РТО==0х328) 


Проверим командой вг, что точка останова задана, как и положено. Заме- 
тим, что мы указали суффикс А — это обязательно, так Зо ШСЕ различает 
функции АРГ по их истинному имени. 


Выйдем из отладчика, нажав клавишу <Е5>, и выполним одну из команд 
программы, которая должна вызвать появление окна МеззадеВох. Тут же 
отобразится окно Зо СЕ. В командном окне появится сообщение о причи- 
не появления ЗОСЕ. В данном случае мы видим: 


ВгеаКкК але со ВР 00: 0$ЕВЗ2!МеззадеВохА ТЕ(РТО==0х328) (ЕТ=2.65 зесопаз) 


Обратим внимание теперь на окно кода. Там подсвечена первая строка вхо- 
да в процедуру МеззадеВох: 


05ЕВЗ2 !МеззадеВохА 
001В:77056471 СМР РМОКО РТВ [7708С3р00],0 


Теперь мы запросто можем исследовать стек вызова функции МеззадеВохА 
и получить адрес возврата и значения параметров. Выполнив, например, 
команду ? * (Е5р+4), получим значение дескриптора окна, которое и ини- 
циализировало вызов МеззадеВох (если вам это непонятно, то вернитесь к 
разд. 3.2.1). Значение нимр оказывается равным 100ЕсС. Просмотрев список 
окон приложения \/тКаг с помощью команды нимо 328, мы убеждаемся, 
что такое окно действительно есть и соответствует классу и1овахИ1паом. 
Кстати, здесь же в таблице мы видим и адрес функции данного окна, так 
что можем запросто углубиться в изучение работы этого окна. 


Но вернемся снова к первой строке вызова функции МеззадеВох и найдем 
теперь адрес возврата. На адрес возврата, разумеется, указывает регистр ЕЗР, 
и командой ? *(Е5Р) мы получаем, что он равен 43с76р. 


Впрочем, адрес возврата можно получить и другим способом: нажать кла- 
вишу <Е11> и после появления окна МеззадеВох и нажатия одной из кно- 
пок этого окна мы опять оказываемся в ЗОВ[СЕ на строке, следующей за 
вызовом функции МеззадевВох. 


( Замечание ) 


Вообще, поиск по вызову той или иной функции АР! — дело достаточно тонкое. 
Надо хорошо знать эти функции и понимать, что один и тот же результат дости- 
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гается разными способами. Скажем, вам надо узнать, где создается окно. 
"Нужно искать Скеасей1п4ом", — скажете вы. А вот и нет. 


Во-первых, в действительности функции Сгеакей1паом нет. На самом деле, 
даже если вы в своей программе вызываете Сгеахей1паон, то все равно ис- 
пользуется Схеасей1паомЕх. 


Во-вторых, искать надо не Сгеакейм1паомЕх, а Сгеафхей1паомЕхА и 
Сгеафейи1паочЕХИ. 


В-третьих, окно могло быть создано модальными диалоговыми функциями 
21а1очВох1па1гесе, ОП1а1очВохРагам, О1а1очВохТпа1гес&Рахкам или не- 
модальными функциями Сгеасер1а1одРагам, Сгеакер1а1очТпаА1геск, 
Сгеаке01а1о0о91п491гесеРагац. Причем для всех функций надо учитывать 
суффиксы д ии. 


Пример 3 
Отслеживание содержимого регистров: 


ВРХ ЕТР ТЕ(ЕАХ==0х10) 


Прерывание по данной точке.останова сработает, когда значение регистра 
ЕАХ будет равно 0х10, вне зависимости от того, в каком потоке будет проис- 
ходить данное событие. 


Прерывания на сообщения М/таомз 


Как мы знаем, основное действо в приложениях СОТ разворачивается в 
оконных функциях. Как реагирует функция на то или иное сообщение — 
важнейшая задача исследования. И вот тут незаменимую услугу может ока- 
зать точка прерывания на сообщение \УМтдо\5. Вот пример установки такой 
точки: 


ВМ5С 100ЕС ИМ СВЕАТЕ 


Первым параметром команды оказывается дескриптор окна, на функцию 
которого должно прийти сообщение. Отладчик по значению дескриптора 
окна определяет поток, который создал это окно, так что об этом можно не 
заботиться. По приходу нужного нам сообщения будет вызван отладчик 
ЗойТСЕ, а в окне кода будет показано начало функции окна. Интересно, что 
того же результата можно добиться и с помошью обычной команды ВРХ: 


ВРХ 43С76р ТЕ((ЕЗР->8) ==ММ СВЕАТЕ) 
Первым параметром я указал адрес первой команды функции окна. А далее 


воспользовался тем фактом, что второй параметр функции находится на 
расстоянии 8 байтов от вершины стека. 
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Поиск процедуры окна 


Итак, как же можно выйти на процедуру окна? Вот несколько простых со- 
ветов. 


С Просмотрите список окон приложения, который выводится командой 
НИМО пл, п — идентификатор приложения (идентификатор приложения, 
как вы уже знаете, можно получить с помощью команды Аррв). В списке 
окон имеются названия. Иногда по ним легко определить нужное окно 
и, соответственно, адрес процедуры. 


С Слисок может оказаться небольшим, и вы легко можете протестировать 
все процедуры, поставив в начале процедуры (на одну из первых команд) 
точку останова. В случае если при активизации окна сработает точка ос- 
танова, это и будет нужное нам окно. 


О Проанализируйте работу окна на предмет того, какие функции АР! могут 
вызываться при работе с этим окном (так, в частности, мы поступили в 
примере 2 из предыдущего раздела). Поставьте точку останова на эту 
функцию и поработайте с этим окном. При прерывании определите, от- 
куда вызывалась данная функция. Это и будет функция окна. Кроме 
этого, имейте в виду, что многие функции АР! первым параметром со- 
держат дескриптор окна. 


Если приложение содержит отладочную информацию 


ЗОЙ1СЕ — полноценный отладчик, т. е. он может загружать отладочную ин- 
формацию и представлять ее вместе с исполняемым кодом. Таким образом, 
его можно использовать при отладке собственных приложений вместо стан- 
дартного отладчика, встроенного в интегрированную среду. Рассмотрим, 
например, как это делается при программировании на С++ в У!15иа| За 
.МЕТ. 


При установке опции "добавить отладочную информацию" (для этого лучше 
всего выбрать конфигурацию проекта ВЕВОС) вместе с исполняемым моду- 
лем создается база отладочной информации. База представляет собой файл. 
по умолчанию имеющий то же имя, что и исполняемый модуль, и расшире- 
ние ра (см. также разд. 1.6.1). Информации, хранящейся в файле, доста- 
точно, чтобы представить структуру исходной программы вместе с именами 
глобальных и локальных переменных и сопоставить эту структуру машин- 
ному коду. 


При загрузке исполняемого модуля при помощи загрузчика Гоа4ег32.ехе 
загружается также отладочная информация и передается отладчику. По 
умолчанию, если для программы имеется отладочная информация, то 
ЗОЙ[СЕ представляет в окне кода текст программы без ассемблерных ко- 
манд. В дальнейшем при помощи команды $вс вы можете переключиться в 
смешанное представление программы (текст программы и машинный код) 
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или же к чисто машинному коду. В первом случае пошаговое выполнение 
программы означает ее пооператорное выполнение, в смешанном представ- 
лении шаг — это одна машинная команда. Соответственно точки останова 
можно устанавливать как на операторы языка высокого уровня, так и на 
машинные команды. Вот несколько строк, которые видны из окна кода 
ЗОЩМСЕ для случая смешанного представления: 


00006 а=10; 

001В:00411А2Е МОУ ОМОВО РТВ [ЕВР-а],0000000А 
00007 Ь=11; 

001В:00411АЗ35 МОУ ОМОВО РТВ [ЕВР-Ь], 00000008 
00008 с=10; 

001В:00411АЗС МОУ РМОВО РТВ [ЕВР-с],0000000С 
00009 ре1пЕЕ("%А\п", мах (а,Б,с)); 
001В:00411А43 МОУ ЕАХ, [ЕВР-Сс] 

001В:00411А46 РОЗН ЕАХ 


Разумеется, читатель понимает, что в записи типа [ЕВР-а] величина а — это 
адрес переменной а в стеке, точнее, смещение относительно адреса, где на- 
ходится старое значение еВР, т. е. просто 4. 


4.2. Краткий справочник по Зо СЕ 


Справочник содержит болыную часть команд отладчика ЗоЙ!СЕ, которых 
более чем достаточно для исследования исполняемого кода. 


4.2.1. Горячие клавиши 


Управление экраном 


Управление экраном выполняется с помощью следующих комбинаций кла- 
Виш; 


П <Си>+<0> — вызов или закрытие главного окна Зо СЕ; 


С <С!>+<АШ-+<стрелки> — перемещение главного окна Зо СЕ на эк- 
ране с шагом, равным размеру символа; 

П <Си>+<А+<Ноте> — перемещение главного окна Зо СЕ в левый 
верхний угол экрана; 


С <Си>+<АЁЕ>+<Епла> — перемещение главного окна Зо СЕ в левый 
нижний угол экрана; 


[в 


[в 


[в 
[в 
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<С>+<А>-+<РазеОр> — перемещение главного окна ЗоВ!СЕ в пра- 
вый верхний угол экрана; 


<Си]>+<А>+<Разе)п> — перемещение главного окна Зо ШСЕ в пра- 
вый нижний угол экрана; 


<Си1>+<[> — обновление главного окна Зо СЕ; 


<Си]>+<А!-+<С> — размещение главного окна Зо СЕ в середине эк- 
рана. 


Перемещение внутри главного окна 


Перемещение внутри главного окна осуществляется с помощью следующих 
комбинаций клавиш: 


[в 
О 
О 


О 


О 


<АК>+<С> — переход в окно кода из командного окна и обратно; 
<А>+<О> — переход в окно данных из командного окна и обратно; 


<А1>+<[> — перемещение в окно локальных переменных из команд- 
ного окна и обратно; 


<А>+<К> — перемещение в окно регистров из командного окна и об- 
ратно; 


<А>+<\> — перемещение в окно слежения из командного окна и об- 
ратно; 


<А>+<$> — перемещение в окно стека из командного окна и обратно. 


Переход в любое (кроме окна сопроцессора) из окон главного окна отлад- 
чика можно осуществить также щелчком левой кнопки мыши в соответст- 
вующем окне. 


Перемещение содержимого окон 


Перемещение содержимого окон выполняется с помощью следующих кла- 


виш: 

С <Т> — перемещение на одну строку назад; 

О <}> — перемещение на одну строку вперед; 

С <-> — перемещение на один символ влево; 

С <->›> — перемещение на один символ вправо; 

С <РагеОр> — перемещение на одну страницу назад; 
С <Раве)п> — перемещение на одну страницу вперед; 
С <Ноте> — переход к первой строке кода; 

С <Епа> — переход к последней строке кода. 
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Управление командным окном 


Клавиша <Емщег> выполняет завершение командной строки и выполнение 
набранной команды. ЗоТСЕ помнит 32 введенных команды. Перемещение 
по командам, находящимся в буфере, осуществляется клавишами <Т>, <}>. 
При этом учитывается уже набранный в командной строке префикс. На- 
пример, если вы набрали букву В, то будут появляться только команды, на- 
чинающиеся на эту букву. Если вы находитесь в окне кода, то для просмот- 
ра буфера команд следует использовать комбинации клавиш <$Ый>+<Т>, 
<$й>+<{>. 


При редактировании командной строки используются следующие клавиши: 
С <Ноте> — перевести курсор на начало командной строки; 

<Епа> — перевести курсор на конец командной строки; 

<шзеи> — переключить режимы вставки/замены; 


ооо 


<Реее> — удалить символ справа от курсора со сдвигом фрагмента 
строки влево; 


С <ВасК5расе> — удалить символ слева от курсора со сдвигом фрагмента 
строки влево; 


ОС <->, <—>> — переместить курсор по строке. 


Отладчик Зо СЕ имеет буфер протокола окна команд. Этот буфер содержит 
всю информацию, выводимую ранее в окне. Просмотреть содержимое буфе- 
ра можно при помощи клавиш <Раге)п> и <РавеОр>. 


Функциональные клавиши 


Отладчик ЗОВ1СЕ позволяет использовать следующие функциональные кла- 
Виши: 


<Е1> — выдать справочные сведения (равносильно команде н); 
<Е2> — открыть/закрыть окно регистров; 
<Е3> — переключиться между режимами исходного кода; 


О 
О 
[№ 
С <Е4> — показать экран отлаживаемого приложения; 
С <Е5> — вернуться в отлаживаемую программу; 

С <ЕРб> — перевести курсор в окно кода или из него; 
О 


<Е7> — выполнить отлаживаемое приложение до команды, на которую 
указывает курсор; 


С <Е8> — выполнить текушую команду отлаживаемого приложения с захо- 
дом в функции; 


С <[Р9> — установить точку останова на текущую команду; 
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<Е10> — выполнить текущую команду процессора с обходом функции; 
<Е11> — перейти в вызывающую функцию программы; 

<Е12> — выполнить функцию до выхода в вызывающую программу; 
<5ШИ>+<Е3> — изменить формат вывода информации в окне данных; 
<АС+<Е1> — открыть/закрыть окно регистров; 

<Ас-+<Е2> — открыть/закрыть окно данных; 

<А-<ЕЗ> — открыть/закрыть окно кода; 

<А+<Е4> — открыть/закрыть окно слежения; 

<А>-+<Е5> — очистить содержимое окна команд; 


ооо оооооо 


<А-+<ЕП> — показать данные, которые расположены по адресу, раз- 
мещенному в первом двойном слове окна данных; 


О 


<А>-+<Е11> — показать данные, которые расположены по адресу, раз- 
мещенному во втором двойном слове окна данных. 


Замечание 


Список команд отладчика, который можно получить при помощи нажатия кла- 
виши <Ё1> или с помощью команды н, довольно обширен, но содержит не все 
команды. Полный список команд представлен в фирменном руководстве 
ЗоМСЕ —Соттапа — Кеегепсе, которое можно найти на сайте 
ВЁр://мимлм.сотримгаге.сот и других сайтах Интернета. Я в своей книге оттал- 
киваюсь от списка, который выдает отладчик по команде Н. Этих команд более 
чем достаточно, чтобы отлаживать и исследовать прикладные программы. 


4.2.2. Команды Зо СЕ 


Макрокоманды отладчика Зо СЕ 


Команды, о которых мы будем говорить в данном разделе, могут объеди- 
няться в макрокоманды (макросы). Существуют два вида макрокоманд, ко- 
торые могут выполняться в отладчике Зо СЕ. 


Рассмотрим вначале макрокоманды времени исполнения. Эти команды суще- 
ствуют только в текущей сессии отладчика. После перезапуска они пропа- 
дают. Вот набор команд, с помощью которых можно управлять такими мак- 
рокомандами: 


С мласво имя _макрокоманды = "команда1; команда2;..." — создание или 
изменение макрокоманды. Например: 


: МАСВО _ар "Бс *;Юрх МеззадеВох" 


создает макрокоманду с именем ар, 
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С мМАСВО имя макрокоманды * — удаление макроса с заданным именем. На- 
пример: 
МАСВО _ар * 
удаляет макрос _ар из списка макросов; 
О мдсво * — удаление из списка всех макрокоманд; 


С МАСВО имя _макрокоманды — редактирование макрокоманды с данным 
именем; 


О масво — вывод списка макрокоманд. 


Можно определять макрокоманды с параметрами. Для этого используется 
символ %. После данного знака следует указать номер параметра. Номер 
должен лежать в диапазоне от | до 8. Например, команда 


МАСВО _Брх="Ьрх %1;51" 


создает макрос с именем _ьрх с одним параметром. Данный макрос создает 
точку останова на указываемую в качестве параметра команду и выводит 
список точек останова. Для того чтобы вставить в определение макрокоман- 
ды знак " или 3, следует использовать символ обратной косой черты \. Для 
вставки же косой черты предназначена последовательность \\. 


5оРСЕ иичайганоп 
бепега! 
Зутьоб пасго 1 ва 
Ехро$ 
СИваззетЫу ОрНоп$ 
Зена! БеБидая9 
Мецло к Бебидата 
КеуБоага М. 


ТгоцЫе5Ноойп9 
АЧуапсеЯ 





Рис. 4.4. Окно настройки создания 
постоянных макрокоманд 
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Для создания постоянных макрокоманд можно воспользоваться программой 
Гоа4ег32.ехе. Для этого нам понадобится пункт меню Е@И | ЗоЙТСЕ ШшшаН- 
тайоп Зете$. При выборе данного пункта появляется окно настроек 
ЗОй[СЕ, в котором следует выбрать Масго Оейш@оп$ (рис. 4.4). Дальнейшие 
действия довольно очевидны. Кнопки А@4 и ЕФИ предназначены для добав- 
ления и редактирования макросов соответственно. Кнопка Кетоуе — для 
удаления макроса. 


Замечание 


Запомните, что все изменения, которые вы делаете в окне настроек отладчика 
ЗОШСЕ, вступают в силу только после перезагрузки Зо СЕ. 


Команды управления окнами Зо СЕ 
Перечислю их: 


О ь:пез п — команда задает количество строк в главном окне отладчика: 
значение пот 25 до 60; 


О и:аеь п — команда задает ширину главного окна отладчика в символах; 
значение ш в промежутке от 80 до 160; 


СО зе ЕопЕ п — команда задает размер шрифта, используемого отладчиком; 
п может принимать значения 1, 2, 3; 


О ее ок191п х у— с помощью данной команды можно задать положение 
левого верхнего угла главного окна на экране; 


О 5еЕ Еогсера1ееее [оп | оЕЕ] — если значение параметра равно оп, ТО 
блокируется изменение системной палитры цветов; 


О со1ок [с1 с2 с3 с4 с5]|[хезеф] — задает цветовую гамму главного окна 
отладчика. Команда Со1ог гезее возвращает цветовую гамму к исходному 
состоянию, заданному по умолчанию. Однобайтовые параметры с1—с5 
задают цвет букв и фона соответствующего элемента главного окна от- 
ладчика. Первый полубайт задает цвет фона, второй — цвет букв: 


® с! — цвет основного фона и букв; 


® с2 — цвет фона и букв для вывода изменившихся флагов (в окне реги- 
стров); 


® сз — цвет фона и букв для выделения текущей команды в окне кода; 
® с4 — цвет фона и букв на панели подсказки; 
® с5 — цвет фона и букв разделительных линий между окнами; 

О команды открытия и закрытия окон: 


® ИС — окно кода; 
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е Ио — окно данных; может существовать одновременно несколько окон 
данных. Номер окна можно указать через точку, например, так: ир. 3; 


® ИЕ — окно сопроцессора; 
® иг, — окно локальных переменных; 
» ив — окно регистров; 

е ии — окно слежения; 

е и5 — окно стека; 

е их — окно регистров ММХ. 


Каждая из перечисленных команд открывает или закрывает (если окно 
уже есть) соответствующее окно. При этом размеры главного окна не ме- 
няются, так что появление или удаление соответствующего окна идет за 
счет размеров уже имеющихся окон. Вы можете также задать размер 
(количество строк) окна, если укажете параметр в команде, например: ир 
30 — команда задает количество строк в окне данных; 


С Ес — переход между окном команд и окном кода (эквивалентно исполь- 
зованию клавиши <Е6>); 


О ст — по этой команде будет очищено командное окно (эквивалентно 
нажатию комбинации клавиш <СШ>+<Е5>); 


О в$ — с помощью данной команды можно временно убрать с экрана окно 
ЗоЕ1СЕ. При нажатии любой клавиши происходит восстановление окна 
Зо&1СЕ. Команда эквивалентна нажатию клавиши <Е4>; 


О Аьтзсв — команда предназначена для перенаправление окна ЗоВ1СЕ на 
дополнительный монитор. Формат команды: 


АГТЗСВ [попо | уда | оЕЕ] 

Назначение параметров: 

® попо — МОНОХромный монитор; 

® уда — монитор, который поддерживает УСА-режимы; 

® ОГЕ — ВЫКЛЮЧИТЬ альтернативный монитор (по умолчанию); 


О ЕъАзн — команда предназначена для восстановления экрана После 
команд т и Р. Формат команды: 


Ф ВКЛЮЧИТЬ режим восстановления 
ЕЪАЗН оп 

Фе ВЫКЛЮЧИТЬ режим восстановления 
ЕБАСН оЕЕ 


При выполнении команды без параметров происходит вывод на экран в 
текущем режиме. 
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Получение и изменение информации в окнах 
Список команд таков. 


О в — команда получения и изменения информации, хранимой в регистрах. 
Формат команды: 


В [-а|гед_ пате|гед_пате [=] уа1ие] 


Параметры: 


е В -а— просто выдает список регистров и их содержимое в окно 
команд; 


® В гед паме — переводит курсор в окне регистров в содержимое ука- 
занного в команде регистра. При этом вы можете редактировать со- 
держимое, закрепляя исправление клавишей <Ещег>. Разумеется, в 
окно регистров можно перейти другим способом, например, при по- 
мощи мыши, и точно также редактировать содержимое регистров; 


® В гед пате = уа1ие (знак = можно опустить) — заносит в указанный 
регистр значение уа1ие. 


О о — вывод в командное окно дизассемблированного листинга. Формат 
команды: 


О [ааагезз [Ъ 1елдёП]] 


Параметры: 


/ . 
» аагезз — адрес, с какого предполагается вывод листинга. Можно 
указывать регистр, откуда этот адрес будет взят; 


® 1]епдёр — количество выводимых в листинге байтов (длина). 


При указании длины листинг выводится в командное окно. Если длину 
не указывать, но задать адрес, то это приводит просто к тому, что лис- 
тинг в окне кода будет начинаться с указанного адреса. Команда без па- 
раметров приводит к прокрутке содержимого в окне кода, начиная с те- 
кущего адреса (на котором закончился предыдущий листинг). Если окно 
кода отсутствует, то весь вывод информации осуществляется в командное 
окно. 


О 2 — команда вывода области памяти (дампа памяти). Формат команды: 


0[$12е] [ааагезз$ [Ъ 1елодЕН]] 


Параметры: 


® 512е — размер, может принимать значения: в — побайтовый вывод, 
и — вывод словами, р — вывод двойными словами, $ — вывод корот- 
кими вешественными числами (32 бита), т. — вывод длинными веще- 
ственными числами (64 бита), т — вывод 10-байтовыми блоками; 


356 Глава 4 


® адагез$ — адрес, с какого предполагается вывод дампа. Можно указы- 
вать регистр, откуда этот адрес будет взят; 


» 1епдЕН — количество выводимых в листинге байтов (длина). По умол- 
чанию это значение равно 128. 


Вывод осуществляется в окно данных. В случае если это окно отсутству- 
ет, дамп выводится в командное окно. 


О Е — команда редактирования памяти. Формат команды: 


Е[ 512е] [аЧАагез$ [4Чаёа 115] ] 


Параметры: 
е 512е — имеет тот же смысл и значение, что и для команды о; 
® адагезз — определяет адрес редактируемой области; 


® Чака 115 — При отсутствии данного параметра курсор переходит в 
окно данных, где вы можете непосредственно отредактировать ячейку 
памяти. В качестве этого параметра выступают данные, которые по- 
мещаются в ячейки памяти, начиная с указанного адреса. Формат 
данных должен соответствовать параметру з12е. Если значений не- 
сколько, то они должны отделяться друг от друга запятыми. 


Пример использования команды. 
ЕВ ЕВХ 33, 34, 35 


По этой команде, начиная с адреса, который находится в регистре ЕВх, в 
три ячейки памяти будут помещены, соответственно, значения 33, 34, 35. 


С РЕЕК — команда чтения непосредственно из физической памяти. Формат 
команды: 


РЕЕК[ $12е] аааге$$ 
Параметры: 


е 512е — размер ячейки памяти, принимает значения: в — байт, и — 
слово, р — двойное слово; 


# аАагез5 — адрес, откуда производится чтение. 


С РоОКЕ — команда записи непосредственно в физическую память. Формат 
команды: 


РОКЕ[$12е] аааге$$ уа1ие 

Параметры: 

е® 512е — имеет такой же смысл, как и для команды РЕЕК; 

® ааагезз — физический адрес, куда осуществляется запись; 


#® уа1ие — записываемое в физическую память значение. 
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О РАСЕТМ — загрузка отсутствующей страницы в физическую память. Фор- 
мат команды: 


РАСЕТМ аааге$$ 


Параметром данной команды является виртуальный адрес страницы. 


О натсн — с помошью данной команды задается выражение, которое затем 
будет отслеживаться в окне слежения. Пример использования команды: 


МАТСН аз:еах 


Таким образом, будут отслеживаться данные, адрес которых находится в 
регистре ЕАХ. 


О гОвмМАТ — с помощью этой команды можно изменить формат вывода в 
окне данных. Команда не имеет параметров. Она просто циклически (по 
кругу) переводит содержимое окна из одного формата в другой. 


О раАтА — с помощью этой команды можно создавать дополнительные окна 
для просмотра данных. В качестве параметра команды можно использо- 
вать номер окна от 0 до 3. 


О А — команда для ввода по указанному адресу ассемблерной команды. 
Формат команды: 


А [аааге$$] 


Единственным параметром команды является адрес, куда будет помещена 
вводимая вами ассемблерная команда. Если адрес не указывать, то берет- 
ся текущий адрес из области кода. При выполнении команды в команд- 
ном окне появляется подсказка (адрес), после чего вы можете ввести ас- 
семблерную команду. 


О $ — команда поиска данных. Формат команды: 
5 [-асиц] [ааагез$ Г 1]епдПЕ ааёа 11$] 
Параметры: 
® с — Поиск без учета регистра; 
® и — поиск в формате Ошсоае; 
е а — поиск в формате АЗСИ; 
® ааагез5 — начальный адрес поиска; 
® 1епокл — размер охватываемой поиском области памяти; 


® Чаёа_115Е — перечень данных для поиска, отделенных друг от друга 
запятыми или пробелами. 


Команда предназначена для поиска нужных данных. В случае их обнару- 
жения они будут отображены в окне данных, а в командном окне появят- 
ся соответствующие сообщения с указанием адреса расположения. Для 
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продолжения поиска следует ввести эту команду без параметров. Пример 
поиска байта 20н в области длиной 20001, начинающейся с адреса, кото- 
рый хранится в регистре ЕАх: 


$ аз:еах Г 2000 20 
О г — команда заполнения области памяти. Формат команды: 


Е ааагез$ Ь 1епдён ааЕа_115Е 


Параметры: 
® ааагез5$ — начальный адрес; 
® ]епдаЕЛ — длина заполняемой области; 


® Чака _115Е — Данные, которые будут помещены, начиная с указанного 
адреса, разделенные запятыми либо пробелами. 


Команда помещает данные, указанные в ааЕа_115Е, начиная с задан- 
ного адреса. Если 1елдЕёл больше длины данных, они будут циклически 
повторены до достижения размера 1епдев. Например, область, которая 
начинается по адресу о3:ЕАХ и имеет длину 100н, будет заполнена сим- 
волами и: 


Г а93:еах Ъ 100 "М" 
СО м — команда перемещения данных. Формат команды: 


М аааге$$1 Ь 1]епдёЛ аааге$$2 


Параметры: 

® адагез51 — адрес, откуда будут переноситься данные; 
® ]епдЕёН — длина переносимых данных; 

® ааагез$$2 — адрес, куда будут переноситься данные. 
Пример команды: 

М 49$: еах 1 1000 аз:ерх 


По данной команде 1000н байтов будет перенесено из адреса, на который 
указывает ЕАх, в область с адресом, который хранится в регистре ЕВх. 


С с — команда сравнения двух блоков данных. Формат команды: 
С аааге$$1 Г. 1]епдЕй аааге$$2 
Параметры: 
® аааге55$1 — адрес первого сравниваемого блока; 
® 1]епдёН — длина сравниваемых данных; 


» аЧагезз2 — адрес второго блока данных. 
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С помощью этой команды можно сравнить два блока данных. Если будет 
обнаружено неравенство, то в командном окне будут выведены полные 
адреса этих байтов и их значения. Например: 


С 95:100 Г 10 9а5:200 


Будет произведено сравнение 10н байтов. 


С нз — данная команда может быть использована для поиска в командном 
буфере. Формат команды: 


Н$ [+|-] $ЕГ1п9 


Знаки + и - определяют, соответственно, нисходящий (сверху вниз) и 
восходящий (снизу вверх) поиск. Далее указывается строка для поиска. 
Для продолжения поиска следует запустить команду без параметров. 


С Команда . — точка. Если окно кода видимо, то данная команда делает 
инструкцию по адресу с$:ЕтР видимой и подсвечивает ее. 


Команды управления точками останова 


Точки останова, или точки прерывания, являются важнейшим механизмом 
отладки приложений. Зо [СЕ присваивает каждой точке прерывания номер 
от 0 до 255. Таким образом, всего одновременно могут существовать 256 то- 
чек прерывания. С помощью этого номера можно управлять точками пре- 
рывания: удалять и включать/выключать. Количество точек останова на об- 
ращение к памяти и портам ввода/вывода в сумме не должно превышать 4. 


Типы точек прерывания 


Перечислим основные точки прерывания, которые поддерживает отладчик 
Зой1СЕ. 


О Прерывание по исполняемым командам. В этом прерывании можно за- 
давать имя, при появлении которого в исполняемом коде должна про- 
изойти остановка выполнения кода. В частности, вы можете установить 
точку останова на вызов какой-либо функции АР. 


О Прерывание на обращение к памяти. По данному прерыванию отладчик 
следит за обращением по определенному адресу памяти. 


С Точки останова прерываний. Отладчик будет отслеживать прерывания, 
происходящие в операционной системе, путем модификации таблицы 
ТОТ (см. разд. 1.2.1). 


СП Прерывания на команды ввода/вывода. Отладчик отслеживает инструк- 
ции тм/оот. 


С Прерывания на сообщения УМт4до\. При этом надо знать дескриптор 
окна, куда должно прийти данное сообщение. 
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Возможности точек прерывания 


При работе с точками прерывания можно использовать условные конструк- 
ции. Точка останова сработает только тогда, когда указанное условие будет 
выполнено. В частности, с помощью условия можно определить, для какого 
процесса будет срабатывать данная точка останова. Типичный пример та- 
КОГО Условия 1Ё(р14==0х058) — условие того, что идентификатор процесса 
должен быть равен значению 0х058. Этим условием нам придется пользо- 
ваться постоянно, поскольку мы будем отлаживать конкретные запущенные 
приложения. 


При помоши оператора ао можно задать команды, которые будут выпол- 
няться, если сработает точка останова. В общем случае формат команды вы- 
полнения действий имеет вид: 


ао "команда1; команда2;... 


В качестве команд могут выступать обычные команды отладчика или макро- 
команды. 


Ниже при описании команд, используемых при работе с точками останова, 
будут применяться следующие обозначения. 


С 512е — определяет размер ячейки, на которую будет устанавливаться 
точка прерывания. Может принимать значения: в — байт, и — слово, р — 
двойное слово; 


С параметр [в1и!ви|1х] определяет тип доступа к ячейке памяти и порту 
ввода/вывода, который будет отслеживаться. в — чтение из ячейки 
(порта), и — запись в ячейку (порт), ви — чтение и запись в ячейку 
(порт), х — выполнение команды, занимающей данную ячейку памяти; 


О веа_аеь — здесь можно указать, какой регистр отладки следует использо- 
вать (р0—03). Как правило, это не делают, т. к. отладчик выбирает нуж- 
ный регистр; 


О [1Е сола] — здесь нужно указать условие, которое ДОЛЖНО ВЫПоОЛНиИТЬСсЯя, 
чтобы было возможно прерывание по данной точке останова; 


О [2о соли] — можно указать команду или группу команд, которые будут 
выполняться при прерывании в данной точке. 


Команды установки точек прерывания 
Перечислю их. 


О врм — с помощью данной команды можно установить точку прерывания 
на ячейку памяти. Формат команды: 


ВРМ[ $512е] аааг [В |1\М|ВИ[Х] [гед_аеБ] [ТЕ сопа] [РО сот 


Параметр аааг определяет адрес ячейки. Адрес можно указать явно или 
посредством регистров, например, аз :еах. 
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О вРтто — данная точка останова устанавливается на ввод/вывод в указан- 
ный порт. Формат команды: 


ВРТО ([В|\|ВИ] [аеБ гед] [ТЕ сопа] [РО сот 
Отладчик будет отслеживать все команды ввода/вывода в указанный 
порт. 


О вглтмт — данная команда используется для установки точки останова на 
прерывание. Точка останова срабатывает только в том случае, если пре- 
рывание срабатывает через ШУТ (таблицу дескрипторов прерываний). 
Формат команды: 


ВРТМТ 1пё пипфег [ТЕ сола] [РО сотт] 


Здесь 1пЕ пишЬег — номер отслеживаемого прерывания. При срабатыва- 
нии точки останова первой инструкцией будет первая команда обработ- 
чика прерываний. 


О врх — эта команда устанавливает точку останова на выполнение, напри- 
мер, на выполнение какой-либо функции АРГЕ. Формат команды: 


ВРХ ехр [ТЕ сопа] [РО сот] 


Здесь ехр — некоторое имя. Пример: 


ВРХ МеззадеВохи 


Команда вРх, не содержащая параметров, устанавливает точку останова на 
текущую команду, но для этого следует перейти в окно кода отладчика. 


О вмзс — команда предназначена для установки точки прерывания на со- 
общения, приходящие для определенного окна в конкретном диапазоне. 
Формат команды: 


ВМ5Сс НИипа [1] [Бед мез [епа тез]] [ТЕ соп] [РО сот] 


Параметры: 
® пира — дескриптор окна; 


® 1, — При установке этого параметра сообщение будет отображено в бу- 
фере (окне) команд, а сам отладчик не будет активизирован; 


» ред пез — первое сообщение диапазона сообщений. Параметр может 
быть задан как числовым, так и символьным обозначением сообще- 
НИЯ; 


® ела пез — Последнее сообщение диапазона (если речь идет именно о 
диапазоне, а не об одном сообщении). Если данный параметр отсутст- 
вует, то отлавливается лишь сообщение, заданное параметром Ьед_птез. 
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Если сообщения в команде не указывать, то точка останова накладывает- 
ся на все сообщения данного окна. Пример использования команды: 


ВМ$С 01001Е ММ РАТМТ 


Перехват сообщения ИМ_РАТМТ для окна с дескриптором 01001Е. 


ВЗТАТ — данная команда служит для выдачи статистической информа- 
ции по заданной точке останова. В качестве параметра команды следует 
указать номер точки прерывания. В частности, будет выдана величина 
Рорирз — количество раз, когда данная точка прерывания вызывала ок- 
но ЗОЩСЕ, вгеакз — количество срабатываний точки останова и т. д. 


Команды манипулирования точками прерывания 


Список таков. 


О 


О 


ВРЕ — Команда редактирования точки останова. Параметром данной 
команды служит номер точки останова. 


ВРТ — данная команда вызывает в командную строку шаблон создания 
точки останова с заданным номером. Отличие от предыдущей команды 
заключается в том, что с помощью данной команды создается еще одна 
точка останова, а не редактируется уже существующая. 


вЬ — данная команда выдает список точек останова — номер и шаблон 
создания. 


вс — команда удаления точки останова. Параметром данной команды 
может служить номер точки останова или список номеров (через запятую 
или пробел), подлежащих удалению. Если в качестве параметра исполь- 
зовать символ *, то будут удалены все точки останова. 


во — команда приостанавливает работу точек останова. В качестве пара- 
метра данной команды может быть список точек останова (номера через 
запятую или пробел) или символ *. 


ВЕ — команда возобновляет работу точек останова. В качестве параметра 
данной команды может быть список точек останова (номера через запя- 
тую или пробел) или символ *. 


вн — выдает список точек останова, которые использовались в данной 
и предыдущей сессии работы отладчика. Продвигаясь по появившемуся 
списку, можно с помощью клавиши <15$е"> выбрать точку останова, 
которую вы хотите использовать сейчас. Клавиша <Ещег> служит для 
установки всех выбранных точек останова. Отладчик помнит последние 
32 точки останова. 
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Команды трассировки 
Перечислю их. 


С х — выход из окна Зо СЕ и возвращение управления программе, пре- 
рванной вызовом Зо СЕ. Равносильно нажатию клавиши <Е5> или 
комбинации клавиш <С1>+<)>. 


С с — команда сообщает отладчику, что необходимо выполнить отлаживае- 
мое приложение. Формат команды: 


С [=аааге$$1] [аааге$$2] 


Параметры: 


е аагез$1— адрес, с которого должно начаться выполнение. Если 
данный адрес не указан, то выполнение начнется с текушего адреса 
(С5:ЕТР), 

е адагез52 — конечный адрес выполнения. Если данный адрес не ука- 


зан, то выполнение будет происходить до тех пор, пока не встретится 
точка останова или не будет выполнен вызов окна Зо СЕ. 


Команда с без параметров равносильна команде х. Команда с @$5:ЕВР 
равносильна нажатию клавиши <Ё11> — перейти в вызывающую функцию. 


О т — команда пошагового выполнения отлаживаемого кода. Формат 
команды: 


Т [=аааге$$] [соипЕ] 


Параметры: 


® ааагезз — начальный адрес трассировки. Если данный адрес не ука- 
зан, то выполнение начинается с текущей команды; 


е соипЕ — указывает, сколько инструкций следует выполнить. Если па- 
раметр отсутствует, то выполняется одна команда. 


Команда без параметров равносильна нажатию клавиши <Е8>. Пример 
команды: 


Т: Т С$:ЕТР-20 10 


Будет выполнено 10 инструкций, начиная с адреса с$:ЕтТР-20. 


СО Р — выполнение инструкции с обходом вызова процедур, прерываний, а 
также строковых команд и циклов. Без параметров команда равносильна 
нажатию клавиши <Е10>. Если присутствует опция ВЕТ (Р ВЕТ), ТО 
ЗоЕГСЕ будет выполнять программу до обнаружения инструкций 
ВЕТМ/ВЕТЕ, Причем остановка будет там, куда произойдет переход с по- 
мощью этих команд. Таким образом, с параметром команда равносильна 
нажатию клавиши <Ё12>. 
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О НЕВЕ — данная команда равносильна нажатию клавиши <Е7> — выпол- 
нить программу с адреса с$:ЕТР и до текущего положения курсора в окне 
кода. 


О ;хгт — считается устаревшей командой. Фактически равносильна коман- 
де х. Следует избегать использования этой команды. 


С семтмт — передача управления прерыванию. Формат команды: 
СЕМТМТ [лил | 11061 | 113 | питЬе!] 


Параметры: 

® пп: — вызов немаскируемого прерывания; 

® 11061 — вызов прерывания номер 1; 

» 1063 — вызов прерывания номер 3; 

» пилЬег — вызов прерывания с номером от 0 до 5Е. 


Использовать данную команду следует очень осторожно. Вы должны 
быть уверены, что обработчик прерывания существует, в противном слу- 
чае команда вызовет зависание системы. 


СО нвоот — команда осуществляет сброс (перезагрузку) компьютерной сис- 
темы. 


С п\нёвЕ — имеет две формы: 


» Т1НЕВЕ оп — включение режима, окно отладчика ЗоВТСЕ будет вызы- 
ваться каждый раз, когда возникнет прерывание с номером 1; 


® Т1НЕВЕ ОЕЕ — выключение режима. 
О тзневЕ — имеет две формы: 


® ТЗНЕВЕ оп — Включение режима, окно ЗОЯ1СЕ будет вызываться каж- 
дый раз, когда возникнет прерывание с номером 3; 


® ТЗНЕВЕ оЕЕ — ВЫКЛЮЧЕНИЕ режима. 


СО 2АР — данная команда заменяет вызовы прерываний с номерами 1 и 3 на 
инструкции мор. 


Основные информационные команды 
Их список таков. 
С сот — команда для отображения таблицы СОТ. Формат команды: 
СОТ [5е]есёог | аааге5$$] 
Параметры: 
® се]1еског — селектор в таблице СОТ; 
® ааагез5$ — адрес сегмента. 
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Если не указывать параметры, то будет отображено содержимое всей таб- 
лицы ОБТ. 


О тот — команда для отображения таблицы ГОТ. Формат команлы: 


БОТ [5$е1есёог | ЕаБ]1е зе1есЕог] 


Параметры: 

® зе1еског — селектор в ГОТ; 

е ГаБ]е зе1еског — селектор ГОТ в СОТ. 
Команда без параметров выдает всю таблицу Г.ОТ. 


СП тот — команда для отображения содержимого таблицы прерываний. 
Формат команды: 
ТОТ [рлитрег | ааагез$$] . 
Параметры: 


® пипЬег — Номер прерывания, информацию о котором из таблицы ПОТ 
следует отобразить; 


® ааагезз — адрес обработчика прерываний (селектор:смещение), ин- 
формацию о котором из таблицы 1ШТ следует отобразить. 


Без параметров команда выводит текущее содержимое всей таблицы ШТ. 


О т5$5$ — по данной команде в командном окне будет выведено содержание 
сегмента Т$$. Параметром команды является селектор в СОТ, указы- 
вающий на Т5$. Если команду запустить без параметра, то будет показа- 
но содержание текущего Т$$, селектор которого находится в регистре за- 
дач тв. 


С сто — на данную команду выдается полный список регистров процессора 
и их содержимое. 


С Ррст: — команда выводит в командном окне информацию обо всех РС]|- 
устройствах, имеющихся в системе. 


П мор — по данной команде в окно команд выдается список всех подклю- 
ченных модулей \УМпао\5. В командной строке можно указать первые бу- 
квы имени модуля, тогда будет выдан список модулей, имена которых 
начинаются с указанного префикса. 


0 нЕАРЗ2 — выдает список системных и созданных приложениями куч 
(Пеарз) памяти. Формат команды: 


НЕАРЗ2 [ПНеар | пате] 
Параметры: 
® Преар — дескриптор кучи, возвращаемый функцией сгеахеНеар; 


е пате — имя задачи. 
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Команда выдает базовый адрес кучи, максимальный размер, количество 
килобайт используемой памяти, количество сегментов в куче, тип кучи, 
владельца кучи. В отсутствие параметров команда выдает список всех куч. 


О тазк — по данной команде в командном окне будет отображен весь спи- 
сок задач и дополнительная информация о них. Возле активной задачи 
будет символ *. Команда может быть полезна в случае сбоя в системе для 
определения задачи, вызвавшей его. 


С мтсаьь — команда выдает список системных сервисов, функционирую- 
щих на уровне ядра (кольцо 0). 


С имзс — выдает в командное окно список сообщений УМ т9до\5 и их номе- 
ра. Формат команды: 


ИМ$С [рагё1а1 пате] [питЬег] 


Параметры: 
® рагЁ1а1 пате — Полное или частичное название сообщения; 
е пипЬег — номер сообщения Ут9до\5. 


Команда без параметров выводит список всех известных отладчику со- 
общений \У/т4о\з. При наличии параметра рагЕ1а1_пате выдаются все 
сообщения, соответствующие данному фрагменту имени сообщения. Ес- 
ли указан номер сообщения, то будет выдан номер и имя сообщения. 


С РАСЕ — по этой команде будет выдана информация о страницах, начи- 
нающихся с данного виртуального адреса (виртуальный и физический 
адреса, атрибут, тип, виртуальный размер). Формат команды: 


РАСЕ [аЯге$$] [1 1епдЕР] 


Параметры: 

е ааагезз — виртуальный адрес страниц; 

® 1епдЕН — количество выдаваемых страниц. 
Команда без параметров выдает список всех страниц. 


С Рну$ — данная команда вызывает отображение списка всех виртуальных 
адресов, соответствующих указанному физическому адресу. Команда ис- 
пользуется только с параметром — физическим адресом. 


С зтаАск — выдает информацию о структуре стека. Формат команды: 
ЗТАСК [Ергеаа | Ёгате] 
Параметры: 
® гргеаа — дескриптор или идентификатор потока; 


® Ггаше — адрес стекового фрейма. 
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Команда без параметров выдает информацию о текущем стеке на основе 
адреса $$:ЕВР. 


0 хЕВАМЕ — выдает записанную в стек информацию об исключении (см. 
разд. 3.2.5). Параметром команды служит идентификатор потока или ука- 
затель на фрейм стека. Если параметр отсутствует, то отладчик использу- 
ет текущий поток. 


С нимо — команда выдает информацию о созданных в системе окнах. Фор- 
мат команды: 


НИМО [-х) [-с] [Рипа | аезкЕор | ргосез$ | ЕПгеаа | тоаи]1е | с1аз$] 
Параметры: 

е -х — ВЫВОД расширенной информации; 

® -с — заставляет отладчик выдавать иерархию окон; 

® рипа — дескриптор окна или указатель на структуру окна; 

® аезкЕор — дескриптор рабочего стола; 

® ргосез5 — идентификатор процесса; 

е Ергеаа — идентификатор потока; 

® поаи1е — имя модуля; 

® с1а55 — имя зарегистрированного класса окон. 


Команда без параметров выдает информацию обо всех созданных на дан- 
ный момент в системе окнах. 


С стА$$ — выдает информацию о классах окон. Формат команды: 


СЬА$$ [-х] [ргосе$$] [ЕПгеаа] [тоаи]1е] [с1а$$] 


Параметры: 

е -х — выдавать расширенную информацию о классах; 
® ргосез5 — идентификатор процесса; 

е гргеаа — идентификатор потока; 

® поди1е — идентификатор или имя модуля; 

® с1а55 — имя зарегистрированного класса. 


Команда без параметров выдает список всех зарегистрированных классов 
текущего процесса. 


(С тнвЕАР — команда используется для получения информации о потоках. 
Формат команды: 


ТНВЕАО [-х | -х | -&] [ЕРгеаа] [ргосе$$] 
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Параметры команды: 
» -г — выдавать команду о регистрах потока; 
» -х — выдавать расширенную информацию о потоках; 


» -п — выдавать информацию о компонентах потока пользовательского 
уровня; 


» сргеаа — идентификатор потока; 
® ргосез5$ — идентификатор процесса. 


П Аоов — используется для выдачи информации о существующих адресных 
контекстах (процессов) и установлении текущего контекста. Для установ- 
ления текущего контекста параметром команды следует указать иденти- 
фикатор, имя процесса или адрес. Можно также указать адрес информа- 
ционного блока процесса (КРЕВ, Кегпе! Ргосез$ Епупоптепе Воск — 
блок описания процесса уровня ядра). Всю эту информацию можно по- 
лучить, если использовать команду Аорв без параметров. 


П мАРЗ2 — выдает список загруженных 32-битных модулей и дополнитель- 
ную информацию о них. Формат команды: 


МАРЗ2 [-и | -5] [паме | ВБапа1е | аааге$$] 


Параметры: 


е п — Показать только модули, загруженные в часть оперативной па- 
мяти, которую можно использовать для хранения программ пользова- 
теля; 


» -5 — Показать только модули, загруженные в часть оперативной памя- 
ти, отведенную под операционную систему, и требуемые ей средства; 


® пате — ИМЯ МОДУЛЯ, 
® рапа1е — адрес модуля; 
® адагез5; — адрес, принадлежащий модулю. 


Команда без параметров выдаст список всех загруженных 32-битных мо- 
дулей и дополнительную информацию о них. 


С Рвос — команда предназначена для получения информации о процессе. 
Формат команды: 


РВОС [-хом] [папе] 

Параметры: 

» -х — показать расширенную информацию о каждой ветви; 

» -о — Показать расширенную информацию о каждом объекте; 


е -п — показать информацию об использовании объектом памяти; 
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® пате — ИМЯ задачи, имя процесса, дескриптор процесса, идентифика- 
тор процесса, имя потока, идентификатор потока, дескриптор потока. 


Если не указано имя объекта, то выводится информация обо всех про- 
цессах системы. 


С осоЕвуУ — команда предназначена для вывода карты виртуальной памяти 
процессов. Формат команды: 


ОЦЕВУ [-х] [аааге$$] [пате] 


Параметры команды: 


е -х — Показать имена процессов (и дополнительную информацию о 
них), которые занимают указанный виртуальный адрес; 


® ааагезз — Виртуальный адрес; 
® пате — ИМЯ процесса. 


Без параметров команда выдает карту виртуальной памяти текущего про- 
цесса. 


0 инат — данная команда пытается интерпретировать указанный в ней 
параметр. Например, если параметр — это идентификатор процесса, то 
команда сообщает об этом, т. е. вы тем самым можете проверить подлин- 
ность идентификатора или дескриптора. 


О овутав — команда для получения информации о таблице объектов ЧЕК. 


П гову — выдает информацию о файловых объектах, существующих в на- 
стоящее время. Такие объекты создаются для каждого открытого файла. 


С тврР — команда выдает информацию об 1ВР (1/О гедиез( расКе:, пакет за- 
проса ввода/вывода). 


С ЕтвЕВ — выдает структуру данных для волокон. Эта структура данных, в 
частности, возврашается функцией СгеафеЕ1рек. 


Другие команды 
Список остальных команд таков. 


С РАОЗЕ — устанавливает два режима просмотра информации в командном 
окне: 


® РАОЗЕ оп (ПО умолчанию) — информация выдается порциями, сле- 
дующая порция появляется по нажатию любой клавиши; 


» РАОЗЕ оЕЕ — информация выдается непрерывно. 


С ? — команда вычисления выражения. Например, ? 34+90*2. Отладчик 
при этом выводит результат одновременно в шестнадцатеричной и деся- 
тичной системах, а также в АЗСП-формате. 


[в 
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ОРТМЕО — получить информацию об инструкции процессора. Например, 
по команде орТМГО ааа на экран будет выдана основная информация об 
инструкции процессора дор: 


АО 
Тибедег ааа1е1оп: ОЕЗТ <- ОЕЗТ + $ВС 
ЕЕЬАСЗ | ОЕ ОЕ ТЕ 5ЕР 2Е АЕ РЕ СЕ ТЕ МТ ВЕ | 
[мммммм | 


АГТКЕУ — данная команда производит изменение комбинации клавиш, 
используемых для активизации ЗО СЕ. По умолчанию используется 
комбинация клавиш <СИ]>+<О>. Если эту команду запустить без пара- 
метров, то ЗоЙ1СЕ отобразит в командном окне текущую комбинацию. 
Примеры использования команды: АТТКЕУ А1х Р, АТТКЕУ Скг1 7 — теперь 
окно ЗоВ[СЕ будет вызываться нажатием клавиш <Си1>+<7>. 


Операторы 


В среде отладчика Зо В1СЕ в командах и определении условных точек оста- 
нова можно использовать выражения. Для построения выражений можно 
применять операторы. Рассмотрим перечень используемых в отладчике опе- 
раторов. 


Операторы адресации 


К этой категории относятся следующие операторы: 


[в 


[в 


. — точка. Если окно кода видимо, то данный оператор делает инструк- 
цию по адресу с$:ЕтР видимой и подсвечивает ее. Точку можно исполь- 
зовать в выражениях; 


* — Данный оператор используется для задания адреса, на который ука- 
зывает данное выражение. Например, *(ЕАХ) означает содержимое памя- 
ти, на которое указывает регистр ЕАХ. 


-> — с помошью данного оператора, также как и с помощью оператора 
*, можно получить содержимое по адресу, на который указывает данное 
выражение. Например, если вам известен адрес процедуры окна, кото- 
рый, в частности, можно получить при помощи команды нимо, то допус- 
тимо использовать следующую точку останова на сообщение им_РАТМТ: 


ВРХ 6В0ЕЕООЗ ТЕ (Е$Р->8)==ММ РАТМТ 


@ — фактически эквивалентен оператору *. 
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Математические операторы 
Список математических операторов таков: 


О + — унарный и бинарный операторы; например, +100 или ЕВХ+ЕТ; 


С - — унарный и бинарный операторы; например, -100 или ЕАХ-8; 
С + — бинарный оператор умножения; например, Евх*4; 

О / — бинарный оператор деления; например, (ЕАХ+ЕВХ) /2; 

С + — бинарный оператор деления по модулю; например, евх$3; 
О << — оператор логического сдвига влево; 

О >> — оператор логического сдвига вправо. 


Побитовые операторы 

СО & — побитовый оператор "И"; 

О ! — побитовый оператор "ИЛИ"; 

С ^ — побитовый оператор "исключающее ИЛИ"; 


С - — побитовый оператор инверсии или мот. 


Логические операторы 

К данной категории относятся операторы: 

С ! — логическое отрицание (МОТ); например, !ЕВх; 
&& — логическое "И"; например, ЕАХ&&ЕВХ; 

| | — логическое "ИЛИ"; например, ЕАХ | | ЕЕ; 

== — условие равенства; 

! = — условие неравенства; 

< — меньше; 

> — больше; 


<= — меньше или равно, 


оооооооо 


= — больше или равно. 


Встроенные функции Зо СЕ 


Дизассемблер имеет ряд собственных встроенных функций. Вот перечень 
основных функций: 


С вусе — возвращает младший байт выражения; 
С иога — возвращает младшее слово выражения; 


ооо ооо 
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Риока — возврашает двойное слово (расширяет байт или слово); 
Н1Вусе — возвращает старший байт (слова или двойного слова); 
Н1Иога — возвращает старшее слово; 

$мога — преобразует байт в слово со знаком; 

Топа — преобразует байт или слово в длинное целое; 

изтв — показывает строку в формате ОЧшсоае; 


Е1а< — преобразовывает адрес с селектором (логический адрес) в линей- 
ный адрес плоской модели памяти. 


Текущее содержимое регистров может быть найдено при помощи функций, 
с названием, соответствующим названию регистра, например, ЕАХ, ЕВХ, ЕБХ 
ит. д.: 


[в 


ао, о оо ,ооо,оо[ооо9 


А 


СЕТ, — возвращает флаг переноса; 

РЕГ. — возвращает флаг четности; 

АЕТ. — возвращает флаг вспомогательного перехода; 
2ЕТ, — возвращает флаг нуля; 

зЕь — возвращает знаковый флаг; 

ОЕЬ — возвращает флаг переполнения; 

ВЕЬ — возвращает флаг возобновления; 

ТЕГ — возвращает флаг трассировки; 

огЬ — возвращает флаг направления; 

ТЕГ — возвращает флаг разрешения прерывания; 

МТЕЬ — возвращает флаг вложенной задачи; 

ТОРЬ — возвращает уровень привилегий ввода/вывода; 
УМЕЬ — возвращает флаг режима виртуального процессора; 
тво, — возвращает текущий 1КО; 


РахаАаак — возвращает начальный адрес блока данных, отображаемых в 
окне данных; 


Соаедааг — возвращает адрес первой инструкции, отображаемой в окне 
кода; 


Еачаг — возвращает эффективный адрес текущей инструкции, если такая 
есть; 


Еуа1ие — возвращает значение по текущему эффективному адресу; 
Рхосезз — возвращает блок среды активного процесса; 


Трухеаа — возвращает блок среды активного потока; 


[№ 
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РТО — идентификатор активного процесса; 
тто — идентификатор активного потока; 


ВРСоцпе — Возвращает количество попаданий в точку прерывания, при 
которых значение условного выражения равно Егое, 


ВРТо+а1 — возвращает общее количество попаданий в точку прерывания; 


ВРМ1з5 — возвращает количество попаданий в точку прерывания, при 
которых условие прерывания не было выполнено и окно ЗоЯ[СЕ не ак- 
тивизировалось; 


ВРЬоа — сохраняет в буфере информацию о попадании в точку прерыва- 
НИЯ; 

ВРТПаех — возвращает номер текущей точки останова в общем списке 
точек. 


Если вы предваряете символом подчеркивания имя функции в каком-либо 
выражении, то дизассемблер вычисляет значение функции на данный мо- 
мент и использует это значение в дальнейших вычислениях. Например: 
_РТО, _ТТЬ, _ЕАХ ИТ. Д. 
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Дизассемблер РА Рго 


Дизассемблер 1РА Рго — действительно выдающийся инструмент исследо- 
вания исполняемого кода. 


Три кита, на которых держится исследование кода в [ЛА Р!го, — это: 


С мощное средство анализа исполняемого кода, встроенное в дизассемблер. 
РА Рго никогда не делает слишком "самоуверенных" предположений. 
Привилегия на эвристический анализ предоставляется человеку; 


(С) человеку предоставляется возможность участвовать в этом анализе, уточ- 
нять параметры тех или иных объектов программы, делать исправления. 
Другими словами, пользователь данного инструмента становится актив- 
ным участником процесса дизассемблирования; 


С встроенный язык программирования, весьма близкий по своей структуре 
к классическому языку С, позволяет значительно наращивать функцио- 
нальность данного продукта. 


На протяжении всей книги мы пользовались этим замечательным инстру- 
ментом, так что данная глава будет служить двум основным целям: 


(С более подробно описать основные возможности дизассемблера ТЛА Р!го. 


(С представить справочный материал по данной программе, так чтобы чита- 
тель смог, по крайней мере, в начале обучения исследовать исполняемый 
код, заглядывая время от времени в мою книгу. 


К сожалению, информация по данному отладчику крайне скудна, кроме до- 
вольно бедного справочного файла (14апер.р) фактически ничего нет. И я 
надеюсь данной главой оказать помощь многочисленным желающим овла- 
деть этим инструментом. 
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5.1. Введение в РА Рго 


ГРА — это Ииегасиуе О15АззетЫег, а совсем не имя женщины, хотя в окне 
АБош и помещено изображение прекрасной женской головки. Но инстру- 
мент действительно изящен, так что его название (точнее ассоциации, кото- 
рые оно вызывает) вполне соответствует его сути. 


5.1.1. Начало работы 


Прежде всего, замечу, что в состав пакета ТОРА Рго входит консольный 
(1Ча\.ехе) и графический вариант (14аз.ехе) программы. В дальнейшем все 
рассмотрение интерфейса будет касаться именно графического варианта 
программы. 


Общие сведения о виртуальной памяти 


Если вы загрузите в ГРА Рго некоторый исполняемый модуль, то в каталоге, 
откуда произошла загрузка, обнаружите два файла с расширениями 140 и 
141. Это вспомогательные файлы виртуальной памяти, которые используют- 
ся ПРА Рго для хранения используемых им данных. При выгрузке загружен- 
ного модуля (ЕШе | С1о$е) оба файла исчезают. В файл с расширением 141 и 
именем исследуемого модуля загружается образ этого модуля. Этот образ 
вполне идентичен образу, загруженному в 32-битную плоскую память опе- 
рационной системой \УМт4о\5. Таким образом достигается полная идентич- 
ность исследуемого модуля с модулем, исполняемым операционной систе- 
мой, что, несомненно, сближает [ЛА Рго с отладчиками. Для каждого адреса 
в файле хранится 32-битная характеристика: 8-битная ячейка, соответст- 
вующая данному адресу, и 24-битный атрибут, определяющий различные 
свойства данной ячейки (а именно, относится ли данная ячейка к инструк- 
ции или к данным (и какой тип данных), а также есть ли другие объекты в 
строке: комментарии, перекрестные ссылки, метки). 


Механизмы работы с виртуальной памятью ГРА Рго вполне идентичны ана- 
логичным механизмам, которые используются операционной системой УМш- 
4о\5. При обращении к конкретной ячейке загружается в оперативную па- 
мять (в буфер) вся страница, где эта ячейка расположена. Если же изменить 
ячейку памяти, то происходит перезапись всей страницы виртуальной памя- 
ти. Часть страниц 1РА Рго держит в оперативной памяти. Модифицирован- 
ные страницы периодически сбрасываются дизассемблером на диск. В слу- 
чае, когда требуется загрузить страницу, а буфер страниц полон, ГРА Рго 
ищет среди загруженных страниц модифицированную раньше всех, сбрасы- 
вает ее на диск и загружает на ее место требуемую страницу. 
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Кроме хранения образа загружаемого модуля 1РА Рго требуется память для 
хранения вспомогательной информации: имен меток, имен функций и ком- 
ментариев. Для этого используется файл с расширением 140. Эту память в 
документации называют тетогу /ог Ь-1гее!. 


Интерфейс программы 
Общие сведения 


На рис. 5.1 представлено главное окно дизассемблера РА Рго с загружен- 
ной туда исполняемой программой. Фоновый анализ уже закончился, о чем 
говорит сообщение в левом нижнем углу: "Тпе шша! ашоапа[у$5 15 Ипизпед”. 


:06491011 са11 

: 00401917 мо 

: 69401916 ге пт 

:6049101С ат ооРмис ег ар 

: 80461915 

`: 80401015 поме не кианми ния якн кееху не ке инн 
05481018 а119п 185 

: 90401026 

:604091020 ; --- меченнне ЗЫВЕВУТГЕНЕ 

:004091020 

:60491620 

:694016026 ; __ «ЕЗеса1ф Вапмати(х,х.х.х) 

:00401020 Шина 6 ргос пеаг : СЕ ЕЕ. БЕН 
:060481020 

:60461020 Нпатапсе = Чыога рег & 

:094010260 

:90401029 мси еах. [еерфтиз внося] 

: 00401024 разн 8 ; Зыар Раса 
:60401625 разн оЁРзеЕ Оза1о9Риис ‹ ЗрбтатооРовс 





Рис. 5.1. Интерфейс главного окна программы 10 А Рго 


В окне ГРА Рго мы видим большое количество вкладок. По умолчанию их 
девять. На самом деле количество вкладок может быть и больше. Их можно 
добавлять при помоши пунктов меню Уем5$ | Ореп зибуем$. Два окна — 


' Ваапсе4 гее — дерево, у которого разность расстояний от корня до любых двух 
листьев не превышает 1. 


1272. 1! 
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ТА \Уем (Окно дизассемблера) и Нех Уе\м (Окно дампа) — могут дублиро- 
ваться: таким образом в разных окнах можно просматривать разные участки 
кода и данных. Эти окна имеют суффиксы, чтобы отличать их друг от друга: 
А, В, Сит. д. 


Конечно, главным окном программы является ША Уе\м. Именно в нем 
представлен основной результат анализа исполняемого кода, и где вы также 
можете поучаствовать в продолжение этого анализа. 


Когда вы работаете с отладчиком ША Рго, не забывайте о трех способах 
управления им: пункты меню, кнопки панели инструментов и горячие кла- 
виши. Последние реализуют далеко не все возможности ГРА Рго, но охва- 
тывают наиболее часто используемые операции. Например, если какой-то 
блок данных вызывает у вас сомнение, вы всегда можете преобразовать его в 
код (дизассемблировать), нажав клавишу <С> (от англ. Со4е — код). И на- 
оборот, если последовательность ассемблерных команд кажется вам слиш- 
ком бессмысленной, вы можете преобразовать ее в данные при помощи 
клавиши <> (от англ. Ва — данные). 


РА Рго использует следующие файлы конфигурации: 14а.с® — общий 
файл, '4ани.с — файл конфигурации для консольного варианта програм- 
мы, 14а2и1.с — файл конфигурации для графического варианта программы. 
Файлы конфигурации должны располагаться в подкаталоге СЕС главного 
каталога ГРА Р!го. 


Загрузка исследуемого кода 


При загрузке исполняемого модуля появляется окно, изображенное на 
рис. 5.2, при помощи которого можно настроить процесс загрузки и пер- 
вичного анализа. Окно содержит большое количество настроек, которые мы 
разберем ниже. В абсолютном большинстве случаев ГРА Рго предлагает оп- 
тимальную настройку, так что ничего настраивать не приходится, а остается 
только нажать кнопку ОК и положиться на волю провидения и дизассемб- 
лер. Но поскольку эти опции все же иногда используются, я дам их краткое 
толкование. 


С Список Га Ше каталог\имя а$ содержит перечень форматов, которые 
распознаются данной версией программы ТРА Рго для выбранного мо- 
дуля. В большинстве случаев ГРА Рго сам распознает, какой тип файла 
предполагается загрузить. Кстати, в зависимости от этого типа автомати- 
чески устанавливаются и остальные опции окна. Вы можете, например, 
провести простой эксперимент и дизассемблировать ВО5-заглушку РЕ- 
модуля (см. рад. 1.5.1), выбрав в списке строку М$-9О0О5 ехесшаЫе. 
Кнопка $её служит для фиксации выбора. Еще раз хочу подчеркнуть, что 
данный список соответствует тому, что мы выбрали РЕ-модуль. Действи- 
тельно он может трактоваться и как обычный РЕ-модуль, и как М$-РО5- 
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программа, и как бинарный файл. В случае если выберете, скажем, МЕ- 
модуль, то содержимое списка будет другим. 


Рона вхасша в юм РОСРЕ) 
М5-2005 ехесшмаЫе (ЕХЕ) [40$.19м 
Втагу Ме 


ние! 80х86 ргосез50г$: таарс 





Рис. 5.2. Окно управления загрузкой исследуемого кода 


С Выпадающий список Ргосез$ог буре предоставляет возможность выбрать 
процессор, для которого скомпилирован данный исполняемый модуль. 


С Поля Гоадше зегтепё и Гоадт? оЙ5её позволяют загружать модуль в кон- 
кретный сегмент и с конкретным смещением, что может быть полезно 
для ОО$- и двоичных модулей. Для РЕ-модулей эти параметры не ис- 
пользуются. 


С Флажок ЕпаЫед (группа Апа!у$1$) позволяет отменить первичный анализ 
исполняемого кода. По умолчанию флажок установлен, т. е. анализ после 
загрузки будет проводиться. 
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С Флажок ш@еаюг епаШей в установленном состоянии (по умолчанию) 
указывает проводить индикацию процесса анализа. 


О Флажок Сгеме зезтепт6 (группа Орйоп$) для РЕ-модулей не использует- 
ся. Если флажок установлен, то ГРА Рго создает необходимые сегменты. 


С Флажок Гоа@ гезоигсе$ предписывает загружать ресурсы РЕ-модуля. Для 
бинарного модуля флажок называется 10а9 а$ соде зегтепё (Загрузить как 
кодовый сегмент) и используется, например, для сот-программ-. 


О Если флажок Вепате ОМ, епёлез не установлен, то 1РА Р!го делает до- 
полнительные комментарии для функций, импортируемых по ординалу, 
в противном случае функции переименуются на усмотрение дизассемб- 
лера. 


С Установка флажка Мапиа! 1юа4 предписывает дизассемблеру "“совето- 
ваться" с вами на каждом шаге загрузки. 


О Флажок Е $езтепё гар$ актуален только для МЕ-модулей и предписыва- 
ет заполнять пространство между сегментами, образуя один болышной 
сегмент. 


О Если установлен флажок Маке итрог65 5егтеп6, то заставляет дизассемб- 
лер трактовать секцию 14а, только в плане импортируемой информа- 
ции, игнорируя тот факт, что в ней могут находиться и данные. 


О Флажок Воп”ё айеп $егтеп предписывает выравнивать сегменты. Дан- 
ный флажок не используется для рассматриваемых нами модулей. 


О Кнопка Кегпе орНоп$1 вызывает окно опций, используемых при анализе 
исполняемого кода. 


» С помощью флажка Сгеже оЙ5е5 апд $егтеп изше Йхир шЮ дизас- 
семблеру предписывается использовать при анализе информацию из 
таблицы перемещений. 


е Флажок МагК бурса| соде 5едиепсе а5 соде предписывает дизассембле- 
ру использовать при анализе типичные последовательности команд 
микропроцессора. 


е Флажок Оеее шугисНоп$ мИВ по хгеЁ разрешает игнорировать инст- 
рукции микропроцессора, на которые нет перекрестных ссылок. 


е Флажок Тгасе ехесийоп Йо\з позволяет проводить трассировку для об- 
наружения инструкций процессора. 


» Флажок Сгеже йшсНоп$ И саН 15 ргезепё предписывает распознавать 
функции по их вызовам. 


2 Сот-программа — программа очень простого формата, используемого в операци- 
онной системе М$-0ОО5. 
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Флажок Апау$е ап сгеже а! хге — одна из основных опций, кото- 
рая заставляет дизассемблер использовать в своем анализе перекрест- 
ные ссылки. 


Флажок 05е Йи{ $епаёиге$ предписывает использовать технологию 
ЕЫВТ (учет сигнатур для распознавания библиотечных функций). 


Флажок Сгеже ипсНоп И да хгеЁ дав->соде32 ех1565 предписывает 
проверять ссылки на исполняемый код в области данных. 


Флажок Кепате ]итр ипс@оп$ а$ }_... разрешает [РА Рго переимено- 
вывать простые функции, содержащие только команду перехода 3пр 
зотиреге, В } _зотеинеге. 


Флажок Вепате етрёу ипс@оп$ а$ пи Й$иБ_... позволяет [РА Рго пере- 
именовывать функции, содержащие одну команду вЕТ, В по11з06_.... 


Флажок Сгеае $асК уапаМе$ предписывает дизассемблеру создавать 
(определять) локальные переменные и параметры функций. 


Флажок Тгасе $басК ройцег заставляет ТОРА Рго отслеживать значение 
регистра указателя стека ЕЗР. 


Флажок Сгеже азсй это И 4аба хгеЁ ех155 предписывает рассматри- 
вать данное, на которое есть ссылка, как АЗСП-строку, если его длина 
превосходит определенную величину. 


Флажок Сопуег 326 шугисбоп орегап@ {№ю оЙ5её предписывает рас- 
сматривать непосредственное данное в инструкции процессора, как 
адрес, если его значение попадает в определенный промежуток. 


Флажок Сгеже обе И даа хгеГ 0 5$е232 ех15%5 предписывает рассмат- 
ривать значение, хранящееся в области данных, как адрес, если оно 
попадает в определенный промежуток. 


Флажок Маке йпа|! апа!у$!5 раз$ сообщает, что дизассемблеру на по- 
следней стадии анализа следует преобразовывать все еще неисследо- 
ванные байты в данные или инструкции. 


О Кнопка Кегпе ор@оп$2 вызывает окно с еще одним набором опций, ис- 
пользуемых при анализе исполняемого кода. 


Флажок Тюсае апд сгеае дитр {аМез предписывает ГРА Рго делать за- 
ключение об адресе и размере таблицы переходов. 


Если флажок Соагщшае даа ш Фе Йпа]! ра$$ сброшен, то на последней 
стадии анализа преобразуются только байты сегмента кода (см. фла- 
жок Маке Йпа| апа1у$15 ра$$). 


Флажок АшотайсаПу ве Нгагу гипсНоп$ заставляет скрывать (свора- 
чивать) библиотечные функции, обнаруженные при помощи техно- 
логии КЫКТ. 
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Флажок Ргорара{е $асК агритепё иНогтайоп указывает дизассемблеру 
сохранять информацию о стековых параметрах вызова при последую- 
щих вызовах (вызов функции из другой функции ит. д.). 


Флажок Ргорагже гез$ег агоитептё иогтабоп указывает дизассембле- 
ру сохранять информацию о регистровых параметрах вызова при по- 
следующих вызовах (вызов функции из другой функции ит. д.). 


Флажок Спеск юг Опкойе $1125 разрешает дизассемблеру осуществ- 
лять проверку программы на наличие строк в кодировке Отсоде. 


Флажок Соттепё апопутои$ НЬгагу йшсбоп$ указывает, что дизассемб- 
лер должен помечать анонимные библиотечные функции с использо- 
ванием имени библиотеки и сигнатуры, с помощью которой функция 
была обнаружена. 


Флажок Мш@Ире сору ИБгагу ипсбоп гесосп@оп разрешает дизассемб- 
леру распознавать в программе несколько копий одной и той же 
функции. 


Флажок Сгеже псйоп {аЙ5$ разрешает поиск и добавление к опреде- 
лению функции ее окончания. 


С Кнопка Ргосе$$ог орбоп$ вызывает окно с опциями процессора. 


Флажок Сопуегё иитефже орегапа оЁ "ризй” ю оЙбеё указывает на воз- 
можность преобразовывать непосредственный операнд в команде Розн 
в смещение (адрес). 


Флажок Сопуегё 45 90в аЁег "пр" №0 "пор" указывает дизассемблеру, 
что байты 9он, стоящие после команды змР, следует трактовать как 
команды МОР. 


Флажок Сопуегё иитефже орегап@ о? "тоу гер,..." №0 оЙ5её указывает на 
возможность преобразовывать непосредственный операнд в команде 
МОУ гед,... (гед — регистр) в смещение (адрес). 


Флажок Сопуегё иите@ же орегап@ о? "тоу тетогу,..." ю оЙ5её пред- 
полагает возможность преобразовывать непосредственный операнд в 
команде моу шек,... В смещение (адрес). 


Флажок О/5аз5ет е 2его орсоде шугисйоп$ предписывает дизассемб- 
лировать следующую инструкцию: 00 00 Арр [ЕАХ], АЬ. По умолчанию 
данный флажок сброшен. 

Флажок Адуапсей апа!у$15 оГ Войап@'$ ВТТЕ (КТТТ, гллите (уре 1Чепий- 


сайоп, идентификация типов во время исполнения программы) раз- 
решает 1РА Рго проверять и создавать структуры ВТТЁ. 


Флажок Спеск ‘ипКпоуп_Ппате’ ог Войапа'5 ВКТТГ позволяет про- 
верять имена, помеченные как "ипКпо\п_И6пате"” на наличие ВТТ|- 


структуры. 
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е Флажок Афуапсед апа!у$1$ оЁ сакй/йпаЙу Моск аЙег йшсйоп разрешает 
дизассемблеру искать сассь/Е1па11у блоки обработки исключений. 


е Флажок АШо\ геегепсез$ мин @Йегепте зертептё Базе$ разрешает дизас- 
семблеру указывать ссылки на символы, даже если величина, храня- 
щаяся по указанному адресу, символом не является (не является ко- 
дом символа). 


® Флажок Воп'ё @5рйау гедипдап тугисНоп ргейхе$ предписывает дизас- 
семблеру не показывать некоторые префиксы команд для улучшения 
читаемости листинга. 


е Флажок Ицегрге шё 20 а$ УхОсаЙ предписывает интерпретировать тит 
20н как \Ухрса11/) апр. 


е Флажок ЕпаМе ЕРОЗ ешшайоп тзгисНот$ указывает, что команды ти- 
па тмт з?н следует интерпретировать как эмуляцию команд арифмети- 
ческого сопроцессора. 


е Если флажок ЕхрИиси ВТР-а@@гез$те установлен, то предполагается, 
что в программе используется КПР-адресация (ВК@апуе №шягасиоп 
Ройиег, относительный указатель команды). Данный флаг действует 
для 64-битных процессоров. 


С Поле бумет ОГ, 9жес®югу содержит каталог, где ГРА Рго будет искать 
динамические библиотеки, если в подкаталоге 10$ отсутствует файл с 
расширением 14$, соответствующий данной библиотеки. 


Окно дизассемблера 


Поскольку работать в [РА Рго большей частью приходится в окне дизас- 
семблера, то есть смысл остановиться на нем более подробно. Надо сказать, 
что разработчики дизассемблера действительно тщательно продумали пред- 
ставление дизассемблированной информации и способы навигации по ней. 
Мы остановимся только на некоторых ключевых моментах. 


(С Сворачивание функций. Функции в окне дизассемблера могут представ- 
ляться в свернутом, или скрытом виде (р14е), и развернутом, или раскры- 
том (иле) виде. В свернутом виде функция представляется всего одной 
строкой. Это действительно замечательное изобретение позволяет значи- 
тельно улучшить читаемость дизассемблированного текста. Скрытие и 
раскрытие функции осуществляется клавишами <-> и <+> (на дополни- 
тельной клавиатуре) или с использованием команд Уем | Н№е и Уем | 
Опье. 





3 ЕРИ (РюаНпё Рош! Чп®), т. е. дословно "устройство с плавающей точкой". Так 
изначально называли арифметический сопроцессор. Другой английский синоним 
МРИ — Митенс Ргосе$зог Чпи. 
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0 Индикация переходов. На рис. 5.3 представлено окно дизассемблера. Об- 
ратите внимание на крайнюю левую секцию окна. Она предназначена 
для улучшения ориентации пользователя в листинге. Точками обозначе- 
ны команды. Строка без точки означает, что здесь расположен коммен- 
тарий. Щелчок по точке приводит к установке точки останова на данный 
адрес. Переходы помечаются сплошными и пунктирными линиями. 
Сплошные линии обозначают безусловные переходы, пунктирные ли- 
нии — условные переходы. 


:605010393 

:90н91093Е 

‚вонатозЕ 

: вач910н2 

‚вонотОна 

:89401042 

:99491042 

:60491045 | эпогЕ 10с_401056 . 
‚бонотонт еах, Чныог4_ 40703. 
:80н91094С 251. еах 
‚ВонотОнЕ 8 

:994910589 есх. [е5р+8с] 
:90401954 } зАогЕ 10с_49107С . 
80801856 . иное ыы м синоним аиннанианые 4 
:804910565 

80501055 10с_ 401056: 

994010565 з р 
09801053 ] зНоГЕ 105 _Ч6106Я _ 
80401958 еах, Чмога 40тОц - 
99481050 е51, еах 
90401052 8 

80401054 есх, [езр+8СВ] 





Рис. 5.3. Индикация переходов в окне дизассемблера 


О Комментарии. Адрес в программе, куда осуществляется переход (команды 
условных и безусловных переходов или команда слт1,) или на который 
имеется ссылка, содержит специальный комментарий. Комментарий на- 
чинается либо с сорЕ хвЕЕ, если ссылка имеет смысл перехода на данный 
адрес, либо с РАТА ХВЕЕ, если на эту инструкцию ссылаются как на дан- 
ные (например, так МОУ ЕАХ, ОЕЕЗЕТ 11). Это есть не что иное, как пере- 
крестные ссылки. Перекрестные потому, что данный адрес и есть тот пе- 
рекресток, где встречаются ссылки из других мест программы. Далее 
через двоеточие указывается адрес относительно начала функции или на- 
чала секции, откуда идет эта ссылка. Наведя курсором мыши на этот ад- 
рес, мы вызовем всплывающее окно с фрагментом кода, откуда ссылают- 
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ся на данную инструкцию. Адрес обязательно содержит символы Т, +1, 
показывающие направление, где находится строка, ссылающая на дан- 
ную строку. Перейти на строку, откуда идет ссылка, можно просто двой- 
ным щелчком мыши по адресу. Если ссылок на данную строку меньше 
четырех, то они перечисляются, в противном случае указывается много- 
точие. В этом случае можно щелкнуть по одному из адресов правой 
кнопкой мыши и выбрать пункт контекстного меню Литр © сго$$ ге{ег- 
епсе. После этого появится окно со списком всех адресов, где имеется 
ссылка на данную строку. Выбрав нужный адрес шелчком мыши (либо 
нажатием кнопки ОК), мы окажемся в нужном месте листинга. На 
рис. 5.4 представлен фрагмент окна дизассемблера, содержащего справа 
комментарии с указанием перекрестных ссылок. 


90402871 

9940928Е1 1ос_ч@28ЕТ: ; ПЯТЯ ХВЕЕ. РаакасвЕГы ЯОТЗЕО о 
89492871 езр, [е6р-188] 

90462874 

90402824 1ос_ц02874; : СОВЕ ХВЕР: зыр_ #828С0+27Т} 
904028ЕЧ : $46 492860+287) 


фоче28ЕЧ ЧЗнога рёг [ебр-ч], ЗЕЕРЕРЕЕРЬ 

00492828 дыога рёг [ебр-158], # 

вон9287С ] зРоге 10с_ 492803 

094923РЕ : 

$9049287Е 

094928ЕЕ 10с_4028ЕЕ: ; СОВЕ ХВЕЕ:; заб норесо+таТ, 





Рис. 5.4. Перекрестные ссылки 


С Обозначение адреса. В листинге, который представлен в окне дизассемб- 


лера, используются различные способы обозначения адреса. Например, в 
случае библиотечной функции или функции АРГ явно указывается имя 
этой функции. Кроме этого, [ГРА Рго практикует называть ссылки на об- 
наруженные им строки, на основе содержимого строки. Например, если 
строка содержит текст "\Уои аге мгоп?!", то [РА Рго обозначает ссылку на 
эту строку, как ауоцАгейкопа. Префикс в данном случае указывает, что 
РА Рго считает это АЗСП-строкой. Остальные имена, обозначающие 
‚имена функций или адреса данных, формируются на основе префикса и 
адреса. Вы можете встретить следующие префиксы: 


® 06 — для обозначения функции; 


® 1осгее_ — адрес инструкции гебагп, 

® 10ос_ — адрес инструкции; 

® ОЕ — данные, содержащие адрес (смещение); 
® зед_ — данные, содержащие сегментный адрес; 


е азс_ — адрес АЗСП-строки; 
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® русе_ — адрес байта; 
® уога_ — адрес слова, 


® диога_ — адрес двойного слова; 


® диога_ — адрес 64-битной величины; 

е 115 — адрес 32-битного вещественного числа; 

е 951 — адрес 64-битного вещественного числа; 

® грусе_ — адрес 80-битного вещественного числа; 


® зЕго_ — адрес структуры; 
® а10п_ — директива выравнивания; 
® ипк_ — адрес неисследованной области. 


С Контекстное меню. При работе с окном дизассемблера удобно пользо- 
ваться контекстным меню, которое появляется, если щелкнуть в окне 
правой кнопкой мыши. При этом меню отличается некоторыми пункта- 
ми для разных частей листинга: названий функций, инструкций, коммен- 
тариев, выделенного блока и т. д. Часть пунктов касается работы 1ДА Рго 
в качестве отладчика, и мы об этом еще будем говорить (Кип ®ю сигбог, 
А@8 ЬгеаКрошё, АЗ ехесийоп {гасе). В частности, обратите внимание на 
пункт Вепаште, с помощью которого, например, можно редактировать со- 
держимое команд (операнды). 


С Навигация по листингу. Наконец, важным моментом является передвиже- 
ние по листингу. Выход на перекрестную ссылку мы уже разбирали. Но 
точно также (двойным щелчком мыши) можно двигаться в обратную сто- 
рону по перекрестной ссылке (например, безусловному переходу, коман- 
де саТЛ, или по адресу в команде типа МОУ ЕАХ, ОЕЕЗЕТ ааагез). Причем 
ТЛА Рго запоминает все ваши переходы. Так, вы всегда можете двигать 
назад по цепочке или опять по ней же вперед (в стиле интернет- 
браузера), используя кнопки | | на панели инструментов. 





Другие окна 


С Окно Нех У\Уе\. Содержит шестнадцатеричный дамп загруженного моду- 
ля, а также АЗСП-символы, соответствующие этому дампу. Окно являет- 
ся вспомогательным по отношению к окну дизассемблера и легко син- 
хронизируется с ним, для чего достаточно щелкнуть правой кнопкой 
мыши в окне и выбрать пункт Зупевгопе И | 14а Уе\м контекстного 
меню. Перейдя в окно дизассемблера, мы окажемся как раз в том месте 
программы, которое соответствует адресу в окне дампа. Кроме этого, ПРА 
Рго отслеживает адреса, с которыми работает окно дизассемблера, и при 
переходе к дампу мы оказываемся в нужном месте. 


0 


[м 
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Окно Ехрог5. Содержит список экспортируемых функций. Актуально для 
динамических библиотек. Для обычных исполняемых модулей список со- 
стоит из одного элемента — функции зэкаге. 


Окно прог. Содержит список импортируемых функций и модули, от- 
куда они импортируются. Двойной щелчок по импортируемой функции 
приводит к переходу в окно дизассемблера, в точку входа. Так что мы да- 
лее легко можем найти все перекрестные ссылки на эту функцию в про- 
грамме. 


Окно Матез. Окно имен содержит список не только всех импортируемых 
или библиотечных функций, но и распознанные ГРА Рго имена пере- 
менных и меток. Слева для каждого имени стоит значок, определяющий 
тип имени: 


е [, — библиотечная функция; 

е Е — регулярные функции, АР|!-функции; 
е С — инструкция (метка); 

е А — строка в кодировке А$СИ; 

е О — данные; 

е [Г — импортируемая функция. 


Двойной щелчок по имени приводит к переходу к тому месту програм- 
мы, где это имя используется. С помощью клавиши <т5еп> можно соз- 
дать новое имя (например, для метки) и указать адрес, соответствующий 
этому имени. Имя, разумеется, появится и в окне дизассемблера. 


Окно КипсНоп$. Данное окно содержит весь перечень определенных РА 
Рго функций (и библиотечных, и импортируемых, и пользовательских). 


Окно 5412$. Содержит все найденные дизассемблером строки. Сделав 
двойной щелчок по строке, мы автоматически перейдем в текст листинга, 
где эта строка определена. По умолчанию в окне представляются только 
строки в стиле С. Щелкнув по окну правой кнопкой мыши и выбрав 
пункт Земшр в контекстном меню, мы можем включить в окно строки 
другой структуры (строки Чшсо4е, строки, используемые в языке Раса, 
ит. д.). 


Окно Эисшгез. Содержит все найденные дизассемблером структуры. 
При помощи клавиши <т$ец> можно добавить в список новую структуру. 


Окно Епит$. Служит для указания найденных в программе перечислений 
(епитеганоп$). 


Кроме перечисленных окон при работе дизассемблера будут использоваться 
и другие. В частности, обращаю ваше внимание на окно Ыганез. В спра- 
вочной системе это окно называется окном сигнатур. В окне содержится пе- 
речень сигнатур, которые были использованы при распознавании библио- 
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течных функций. На рис. 5.5 представлено окно сигнатур. Как видно из ри- 
сунка, в списке указано имя файла, где содержатся сигнатуры функций, ко- 
личество найденных с помощью этих сигнатур функций, а также имя биб- 
лиотеки, к функциям которой были применены данные сигнатуры. Нажав 
клавишу <т5е(>, вы можете выбрать из появившегося списка файлов сиг- 
натур нужный файл, сигнатуры которого тут же будут использованы для 
распознавания новых функций, и добавить его. 


| ФБЗАГ АББИвЯ Тб Вов 





Рис. 5.5. Окно сигнатур 


Меню и панели инструментов 


Я не собираюсь подробно разъяснять все пункты меню и все кнопки панели 
инструментов ГРА Рго. В большей части возможностей ТЛРА Рго читатель 
легко разберется сам. Хочется остановиться на некоторых, с моей точки 
зрения, важных моментах. 


С Меню Ее содержит следующие пункты: 
е Ореп — загрузка дизассемблируемого модуля; 


е 10а — загрузка различных файлов: г@оаё Фе три Ше — повторная 
загрузка дизассемблируемого модуля; Ааюпа! Мтагу Ше — загрузка в 
базу дополнительного бинарного файла; 0$ Ше — загрузка 25$-файла, 
содержащего информацию о функциях той или иной библиотеки им- 
порта, все Го$-файлы, находящиеся в каталоге 105, загружаются ав- 
томатически; РОВ Ше — загрузка РОВ-файла, который содержит от- 
ладочную информацию; ОВС Ше — загрузка файла, содержащего 
отладочную информацию; ЕМВТ яепанге Ше — загрузка и примене- 
ние файла сигнатур, такая же операция выполняется в окне сигнатур 
(см. рис. 5.5 и комментарий к нему); Рагбе С Веафег Ше — чтение из 
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заголовочного файла С определений типов для дальнейшего объявле- 
ния новых структур и перечислений (см. описание окон Епши$ и 
Эгисшге$ в предыдущем разделе); 


Ргодисе Ше — при помощи данного пункта можно создавать новые 
файлы различной структуры на основе дизассемблируемого кода: 
МАР-файл, который может быть использован отладчиками, файл на 
языке ассемблера (расширение азт), 1$Т-файл (листинг), листинг в 
формате НТМЕ и др.; 


ШС Ше — загрузка и выполнение файла сценария (скрипта) (см. 
разд. 5.1.3); 


ШОС соттап8 — вызов окна немедленного выполнения скриптов; 


Зауе — сохранение текущей базы дизассемблирования (файл с расши- 
рением 146); 


Зауе а5 — сохранение текущей базы дизассемблирования с заданным 
именем; 


С10о5е — закрытие дизассемблируемого файла с сохранением базы ди- 
зассемблирования. 


С Меню ЕВЕ содержит следующие пункты: 


Сору — копировать в буфер обмена выделенный фрагмент; 
СОШЕ — преобразовать блок к исполняемому коду; 

РАТА — преобразовать блок к данным; 

ЭбгисЕ уаг — преобразовать блок к выбранной структуре; 


512$ — преобразовать к строке. Типы строк предлагаются в подме- 
ню; 


Аггау — преобразовать к массиву с заданными параметрами; 
Опдейпе — отметить как данные неопределенной структуры; 
Маше — переименовать; 

Орегап4 буре — задать тип операнда; 

Соттепт — управление комментарием; 

Зертепё5 — управление сегментами; 

Этис65 — управление структурами; 

ЕипсНоп$ — управление функциями; 


О\фег — другие возможности: указать директиву выравнивания, ввести 
инструкцию или данные, выделить цветом; 


Рирш$ — плагины (внешние подключаемые модули, от англ. ри т — 
подключать). 
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Меню Литр. Пункты посвящены всевозможным переходам по дизассемб- 
лированному тексту: переход по указанному адресу, переход к указанной 
функции (выбор функции из списка), переход к точке входа программы, 
пометка строки, переход по указанной метке и т. д. 


Меню Зеагсй. Пункты реализуют различные операции поиска в дизас- 
семблированном тексте: поиск текста, поиск следующего в тексте блока 
данных, поиск следующей в тексте ассемблерной инструкции, поиск по- 
следовательности байтов и т. д. 


Меню Уеу. С помощью пунктов данного меню можно менять внешний 
вид дизассемблера 1ЛА Рго: открывать новые окна (Ореп ЗиБ\е\м$), соз- 
давать и удалять панели инструментов (Тооаг$), сворачивать (Не) и 
разворачивать (име) функцию, вызвать окно калькулятора и др. 


Меню БеЪиррег. Пункты меню относятся к отладочным возможностям 
ТРА Рго: управление точками прерывания (ВгеаКрошё5), управление на- 
блюдениями (Уакйе$), управление трассировкой (Тгаст?), просмотр 
содержимого регистров (Сепега! гер1${ег$, Зертепе гер15ег$, ЕРО гезб- 
(ег$) и др. 

Меню Ор@йоп$. Пункты посвящены всевозможным настройкам ГА Рго, с 
частью из которых мы знакомились, когда рассматривали окно управле- 
ния загрузкой. 


Меню \У40%\5$. С помошью пунктов данного меню можно управлять ок- 
нами ГРА Р!го. 


Меню Нер. Пункты посвящены получению справки и технической под- 
держки. 


Ключи запуска программы 
При запуске ГРА Рго можно использовать следующие ключи: 


оаоооосо 


О 


-а — отмена автоматического анализа; 
-А — запуск ГРА РГго с автоматической загрузкой последней базы; 
-5#### — указание адреса для загрузки модуля; 

-в — запуск ГРА РГго с автоматической генерацией 146- и азт-файлов; 
-с — удаление старой базы дизассемблирования; 


-991кесе1уа — запуск с указанием директивы загрузки для первого про- 
хода анализа; 


-ра+гесЕ1уе — запуск с указанием директивы загрузки для второго про- 
хода анализа; 


-Е — исключение инструкций арифметического сопроцессора; 


в — открытие окна помоши {РА Р!го; 
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О 
О 


ооо, оос[ооо 


-1 — указание адреса точки входа в программу; 

-М — запрет использования мыши (для консольного варианта загрузки); 
-0#### — передача опций дополнительному модулю (рше1т): 
-Ор1и91: орЕ1: орЕ2: орЕЗ 

Здесь р1и91 — название дополнительного модуля; орё1, орЕ2, орёЗ — оп- 
ЦИИ МОДУЛЯ; 

-о#### — указание имени базы. Ключ используется вместе с ключом -с; 
-р — указание типа процессора; 

-Р+ — упаковка базы; 

-Р- — отказ от упаковки базы; 

-В — загрузка ресурсов из ехе-файла; 

-5###Е — выполнение указанного 14с-файла; 

-и#### — указание каталога \/п4о\5; 

-х — отказ от создания сегментов; 

-? — экран помощи о ключах запуска 1РА Р!го. 


5.1.2. Простые примеры исследования кода 


В данном разделе мы опять вернемся к примерам на языке ассемблера (см. 
разд. 1.6). Причина очень проста. С помощью языка ассемблера очень легко 
смоделировать нужную программную ситуацию, чтобы продемонстрировать 
те или иные закономерности исследования кода в дизассемблере ПЛА РГго. 


О возможностях ША Рго 


Простые вещи 


В предыдущих главах мы неоднократно убеждались в возможностях дизас- 
семблера ГРА Рго анализировать исполняемый код. Рассмотрим простую 
программу на языке ассемблера из листинга 5.1. 





. 586Р 

.МОБЕТ РЪАТ, ЗТОСАЬГЬ 

10с1а9е11Ь е: \тазм32\116\п5ег32.115 
ЕХТЕКМ МеззадеВохА@16:МЕАВ 


;‚ сегмент данных 
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_РАТА ЗЕСМЕМТ 
ТЕХТ1 ОВ 'М№ ргоб1ет!',0 
ТЕХТ2 ОВ 'Меззаде', 0 
_БАТА ЕМО$ 
; сегмент кода 
_ТЕХТ ЗЕСМЕМТ 
ЭТАВТ: 
РОЗН ОРЕЗЕТ 0 
РОЗН ОРЕЗЕТ ТЕХТ2 
РОЗН ОЕГЕЗЕТ ТЕХТТ 
РОЗН 0 
СА МеззадеВохА@16 
МОУ ЕЗТ,З 
АБР ЕЗТ,‚,ОРЕЗЕТ 2 
Ь2: 
САБЬ ЕЗТ 
ВЕТМ 
ГЛ: 
ХОВ ЕАХ,ЕАХ 
ВЕТМ 
_ТЕХТ ЕМО$ 
ЕМО ЗЭТАВТ 


Конечно, от читателя не утаить маленькую хитрость, которая таится в стро- 
ках 

МОУ ЕЗТ,3 

АБР ЕЗТ,‚ ОРЕЗЕТ 12 

2: 

САБЬ ЕЗТ 

ВЕТМ 

Ы: 


Команда саТТ, ЕЗТ осуществляет переход на метку 1.1. Как на это среагирует 
ГРА Рго? Рассмотрим результирующий листинг 5.2. 





.6ехе:00401000 — ехе зедтепЕ рага риб11с 'СОБЕ" ц5е32 
. Сехе:00401000 аззите сз: {ехЕ 
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. Сехе:00401000 ;огд 4010008 


.бехе:00401000 аззите ез:поеВ1п9, $5:поер1па, аз: Аааба, Ез:по®В1п9, 
93: поЕВ1п9 


.Сехе:00401000 ;-------- ЗзовВвкоООтТгмЕ ------------- 
.СехЕ: 00401000 руЮ11с звахе 

‚ сехё:00401000 зв ак ргос пеаг 

.Бехе:00401000 разв 0 ; аТуре 

.Сехёе: 00401002 разь оЕЁЕзее СарЕ1оп ; 1рСарЕ1оп 
.Сехе:00401007 ра5В оЕЁЕзеЕе ТехЕ ; 1ртехЕ 

. Сехе:0040100С ра$В 0 ; Бира 
.Еехе:0040100Е са11 МеззадеВохА 

.Еехе:00401013 ом ез1, 3 

. Сехе:00401018 ааа ез1, ОЕЁзеЕ 1ос_40101Е 
.Сехс:0040101Е 10ос_40101Е: ; ОБАТА ХВЕЕ: $6аге+18?о 

. Сехе:0040101Е са11 ез1 ; заб 401021 

. Сехе:00401020 гееп 

.Сехе:00401020 з%агё епар 

.Сехе:00401021 $ --------- 5овВвоОчЧтТтмЕ ------------ 


. Сехе: 00401021 

. Сехе:00401021 зи5 401021 ргос пеаг ; СОБЕ ХВЕЕ: зфаге:1ос_40101Е?р 
. Сехе: 00401021 хог еах, еах 

.Сехе:00401023 гееп 

. Сехе:00401023 506 401021 епар 

.Сехе:00401023 


.Сехе:00401024 ; [00000006 ВУТЕ$: СОБЦАРЗЕО ЕОМСТТОМ МеззадеВохА. РВЕЗ$ 
КЕУРАО "+" ТО ЕХРАМО] 


. Сехёе:0040102А а119п 2008 
. Сехе:0040102А _сехЕ епаз 


Смотрите, ГРА Рго четко отследил значение регистра Е5Т и тем самым опре- 
делил начало процедуры зов 401021. Конечно, арифметика здесь проста: 
нужно добавить к адресу 1ос_40101Е число три, и получим как раз адрес 
вызываемой процедуры. Определив же начало процедуры, можно достаточ- 
но легко выяснить ее конец, который в данном случае определяется просто 
ближайшей к началу командой возврата веТМ. 


Несколько видоизменим программу из листинга 5.1. Оказывается, наше не- 
значительное изменение приводит к некоторым сложностям в дизассембли- 
ровании (листинг 5.3). 
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. 586Р 
.МОРЕГ ЕЪАТ, ЗТОСАЦ 
1пс1аае11Ю е: \пазм32\115\а5ег32.11 
ЕХТЕВМ МеззадеВохА@16:МЕАВ 
; сегмент данных 
_РАТА ЗЕСМЕМТ 
ТЕХТ1 ОВ '№ ргоЛеп!',0 
ТЕХТ2 ОВ 'Меззаде', 0 
_РАТА ЕМЬ$ 
; сегмент кода 
_ТЕХТ ЗЕСМЕМТ 
СТАВТ; 
РОЗН ОЕЕЗЕТ 0 
РОЗН ОЕРЕЗЕТ ТЕХТ2 
РОЗН ОГЕЗЕТ ТЕХТ1 
РОЗН 0 
САГЬ МеззадеВохА@16 
МОУ ЕЗТ, З 
АБР ЕЗТ,ОРЕЗЕТ 12 
РОЗН ЕЗТ 
РОР ЕШОТ 
Ъ2: 
САЦ ЕБТ 
ВЕТМ 
1: 
ХОВ ЕАХ,ЕАХ 
ВЕТМ 
_ТЕХТ ЕМО$ 
ЕМО ЭТАВТ 


Рассмотрим, что получилось у дизассемблера ПРА Рго после анализа испол- 
няемого кода, созданного транслятором ассемблера из программы, которую 
мы видим в листинге 5.3. Результат представлен в листинге 5.4. 





‚ Сехе:00401000 — ехЕ зедтепЕ рага рую11с 'СОБЕ' п5е32 
. Сехе:00401000 аззите с5:_вехёЕ 
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.Сехе:00401000 ‚ога 4010008 


. Сехе:00401000 аз5име ез:поеВ1п9, $5:п0%01п9, 5: _Чаба, Е5:поев1па, 
95: поЕВ1па 


.Сехе:00401000 ;----------- $5ОВКОЧТТмМЕ-------------- 
.бехе:00401000 рУ9611с зкагё 

„СехЕе: 00401000 зкагЕ ргос пеаг 

. бехе:00401000 ра5В 0 ; аТуре 
.Сехе:00401002 разв ОЕЁзее СарЕ1оп ; 1рСарЕ1оп 
.Бехе:00401007 разв ОЕЕзеЕ Техе ; ]1рТехЕ 
.Сехе:0040100С разв 0 ; Б\ра 
.Сехе:0040100Е са11 МеззадеВохА 

. бехе:00401013 о“ ез1, 3 

. бехе:00401018 ада ез1, ОЕЁзее 1ос 401020 

‚ СехеЕ:0040101Е разв е$1 

. Сехе:0040101Е рор еа1 

.Сехе:00401020 1ос 401020: ; ВАТА ХВЕЕ: 3каг&+18?о 
.Сехе:00401020 са11 еа1 

‚ Сехе:00401022 геп 


‚ Еехе:00401022 $тагё епар 


.Сехе:00401023 ;-------------------------------------------------- 
.Сехе:00401023 хог еах, еах 


.Сех®:00401025 гееп 

.Сехе:00401026 ; [00000006 ВУТЕЗ: СОЪЬАРЗЕР ЕОМСТТОМ МеззадеВохА. РВЕЗ5 
КЕУРАО "+" ТО ЕХРАМО] 

. $ехе:0040102С а11ап 2008 

.Сехе:0040102С _сехЕ еп45 


Рассмотрим листинг 5.4, где представлен анализ, который провел дизас- 
семблер 1ЛА Рго. Посмотрите, незначительные изменения в исходном тек- 
сте программы приводят к тому, что процедура по адресу 00401023 более не 
распознается дизассемблером. Конечно, чтобы все-таки понять, как прово- 
дился анализ, надо посмотреть алгоритм, которым пользуется ГРА Рго. Но 
некоторые соображения можно сделать, и не видя алгоритма. Как я уже го- 
ворил, [РА Рго — очень осторожная программа. Она не хочет делать слиш- 
ком скороспелые выводы. В данном случае есть некоторая вероятность, что 
на метку 1ос_ 401020 будет сделан переход (неявный, конечно) откуда-то из 
другого места программы, и тогда, возможно, адрес процедуры будет совсем 
иным. Конечно, все это трудно взвесить, но из осторожности можно учесть 
такую возможность и положиться на совместную работу с пользователем. 
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Впрочем, вот такой фрагмент 
РОЗН Е$Т 

РОР ЕЗТ 

2: 

САЪЬ ЕЗТ 


ГРА Рго уже нисколько не смущает, и адрес процедуры в этом случае опре- 
деляется вполне корректно. 


Как это происходит 


Давайте рассмотрим, как происходит совместная работа исследователя кода 
и дизассемблера ТА РГго. В листинге 5.5 представлена простая программа 
на ассемблере. Вызов САГт, ЕЪТ, Как легко видеть, осуществляется по адресу, 
соответствующему метке 1,1. 





.586Р 

.МОБЕТ ЕЦАТ, ЗТОСАЬГ, 

10с1а4е11Ь е: \пазт32\115\п5ег32.115 
ЕХТЕКМ МеззадеВохА@16:МЕАВ 


; сегмент данных 
_РАТА ЗЕСМЕМТ 
ТЕХТ1 ОВ 'М№ ргор1ет!',0 
ТЕХТ2 ОВ 'Меззаде', 0 
_РАТА ЕМО$ 
; сегмент кода 
_ТЕХТ ЗЕСМЕМТ 
ЗСТАВТ: 
МОУ ЕЗТ,З 
РОЗН ЕЗТ 
РОЗН ОЕЕЗЕТ 0 
РОЗН ОКЕЗЕТ ТЕХТ2 
РОЗН ОЕГЕЗЕТ ТЕХТ1 
РОЗН 0 
САЦ МеззадеВохА@16 
РОР ЕРТ 
АБО ЕРТ, ОРЕЗЕТ 12 


Дизассемблер ДА Рго 


2: 


САЦ ЕОТ 


ВЕТМ 


1: 


ХОВ ЕАХ,ЕАХ 


ВЕТМ 


_ТЕХТ 


ЕМО$ 


ЕМО ЗТАВТ 
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Оттранслируем программу, а потом загрузим код в дизассемблер ПРА Р!го. 
И вот, что у нас должно получиться (листинг 5.6). 





.Сехе: 
.сехе: 
.Сехе: 
. Сехе: 


00401000 
00401000 
00401000 


00401000 


а$: поЕВ1п9 


.сехе: 
.Сехс: 
. СехЕ: 
. СехЕ: 
. Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
.Сехе: 
:00401012 
:00401014 
:00401019 
.Сехс: 
.СехЕ: 
. Вехе: 
. Сехс: 
.Сехс: 
:00401022 
.Сехе: 
.Сехе: 


.Сехе 
.Сехе 
.Сехе 


.Сехе 


00401000 
00401000 
00401000 
00401000 
00401000 
00401005 
00401006 
00401008 
00401002 


0040101А 
00401020 
00401020 
00401020 
00401022 


00401023 
00401025 


_вехё 


зедтепе рага руЪ11с 'СОБЕ' а$е32 


аззиме сз:_вехе 


ога 


4010008 


аззиме ез:поер1па, $5:поЕП1п9, 93: Чаба, Ез:поеП1па, 


рую11с $вагё 


5багЕ ргос пеаг 
пох ез1, 3 
разв е5:. 
разв 0 ; оТуре 
разв ОЕЁЕзее СарЕ1оп ; 1рСарЕ1оп 
ра$В ОЕЕзее Техе ; 1рТехе 
ра$В 0 ; Б\ра 
са11 МеззадеВохА 
рор ея: 
ааа еа1, оЕЁзее 1ос 401020 

1ос 401020: ; БАТА ХВЕЕ: зкагЕ+1А?о 
са11 еа1 
гебп 

$фагЕ епар 
хог еах, еах 
геп 
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. Сехе:00401026 ; [00000006 ВУТЕ$: СОЬЬАРЗЕОР ЕОМСТТОМ МеззадеВохА. 
РВЕЗЗ КЕУРАО "+" ТО ЕХРАМ] 


. Сехё:0040102С а119п 2008 
. Сехе:0040102С  ехе епа5 


Как и следовало ожидать, дизассемблер не распознает адрес, по которому 
будет осуществлен вызов сатт, ЕБт. 


Начнем наши изыскания с того, что создадим функцию по адресу 00401023. 
То, что мы имеем здесь дело с некоторой функцией, ясно даже без опреде- 
ления адреса, по которому осуществляется вызов САТТ, ЕБТ. Действительно, 
последовательность команд 


ХОВ ЕАХ, ЕАХ 
ВЕТМ 


почти наверняка указывает на тело некоторой функции. Установим курсор 
на первую команду предполагаемой функции и нажмем клавишу <Р> или 
воспользуемся пунктом меню Еай | ЕипсНоп$ | Сгеае гисбоп. В результате 
ГРА Рго автоматически создаст функцию: 


. Сехе:00401023 зи6_401023 ргос пеаг 
.Сехе:00401023 хог еах, еах 
.Сехе:00401025 гесп 

. Сехе:00401025 зар 401023 епар 


Итак, функция создана, и теперь ссылки на нее можно использовать в ди- 
зассемблированном тексте. При этом дизассемблер будет автоматически 
учитывать наше редактирование и продолжать анализ с учетом нашей кор- 
ректировки. Перейдем теперь к строке с адресом 00401020 (САЪт, ЕОТ). На- 
жмем клавишу <;> для ввода комментария. Можно воспользоваться также 
пунктом меню: ЕвИ | Соттепт6 Ещег сотитеп($. В результате на экране поя- 
вится окно для ввода комментария (рис. 5.6). Здесь можно ввести любой 
комментарий. Но комментарий в ПРА Рго обладает одной особенностью: 
некоторые комментарии несут информацию не только для нас с вами, но 
для самого дизассемблера. 


Итак, в окно редактирования введем следующую строку: РАТА ХВЕЕ: 
зар 401023. Мы, таким образом, указываем, что вызов процедуры осуществ- 
ляется по адресу, соответствующему метке эзоь 401023. Результат более чем 
интересен. Мы не просто получаем комментарий, щелкнув по которому, 
переходим по соответствующей ссылке. Автоматически появляется коммен- 
тарий и у строки с адресом 0040101. Чтобы не быть голословным, привожу 
следующий фрагмент (листинг 5.7). 
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"рреазе ещег1е — 





Рис. 5.6. Ввод комментария 





. Сехёе: 00401019 рор еа1. 
. Сехе:0040101А ааа е@1, оЕЁзеЕе 1ос 401020 ; РАТА ХВЕЕ: заб 401023 
.бехе:00401020 1ос 401020: ; РАТА ХВЕЕ: з®агё+1А?о 


‚ Сехе:00401020 са11 еа1 
. Сехе:00401022 геп 

‚ Сехе:00401022 з+кахё епар 

.Сехе:00401023 ;--------------- ЗОВВОЧТТМЕ--------------- 
.Сехе:00401023 

.Сехе:00401023 заб 401023 ргос пеаг 

.Еехе:00401023 хог еах, еах 

.Сехе:00401025 гесп 

‚ Сехе:00401025 зар 401023 епар 


РАТА ХВЕЕ: зар 401023 


`. 


Отладка в среде РА Рго 


Хотя отладка — не прямая обязанность ГРА Рго, эта функция вполне рабо- 
тоспособна, и на ней стоит остановиться отдельно. 


После загрузки исполняемого модуля в дизассемблер ГРА Рго можно запус- 
тить отладчик. Однако прежде следует определиться с первой точкой оста- 
нова. Проще всего использовать команду выполнения до текущего положе- 
ния курсора, воспользовавшись пунктом меню Оеиреег | Вип 0 сигбог или 
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нажав клавишу <Е4>. Естественно в качестве точки первого останова“ вы- 
брать первую инструкцию функций мазп ИЛИ И1пМа1п, а далее можно осу- 
ществить пошаговое выполнение с заходом (клавиша <Ё7>) или без захода 
(клавиша <Е8>) в функции. Но можно также воспользоваться командой за- 
пуска процесса (пункт меню Оефиргег | Эвагё ргосез$ или клавиша <Е9>), 
предварительно установив точку (точки) останова. Устанавливать точки ос- 
танова можно прямо в дизассемблированном тексте при помощи клавиши 
<Е2>. При этом строка, где находится инструкция, окрасится другим 
(красным по умолчанию) цветом. Наконец, можно воспользоваться окном 
настройки отладчика (пункт меню Оефироег | ОеБигрег ор@оп$), которое 
представлено на рис. 5.7. В группе Еует$ флажки определяют события, на 
которые реагирует отладчик, можно отметить флажок Э®юр оп деБизоше $ а“ 
(Отладчик останавливается в момент своего запуска) или флажок Э®р оп 
ргосез$ епгу рошё$ (Отладчик останавливается на первой исполняемой ин- 
струкции программ?). 





Рис. 5.7. Настройка отладчика 


4 Такую точку останова мы ранее назвали одноразовой (см. разд. 4.2.2). 
5 Надеюсь, вы понимаете, что, скорее всего, эта инструкция не совпадет с первой 
инструкцией функции ма1п или И1пМа1п 
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Замечание 


Флажок Зюр оп {Игеад з{агехй меня несколько удивляет. Действительно, 
{Игеад — это поток. Но при создании процесса всегда создается, по крайней 
мере, один (его называют главным) поток. Но разработчики этот момент, оче- 
видно, проигнорировали, имея в виду только потоки, явно создаваемые в про- 
грамме. 


Итак, с первой точкой останова мы определились. Что же мы имеем в своем 
арсенале, когда используем ГРА Рго как отладчик. Вот некоторые ключевые 
моменты. 


С После запуска приложения внешний вид ГРА РГго изменяется. Появляют- 
ся отладочные окна, при помощи которых можно контролировать про- 
цесс отладки. Это окно Уем ЕТР, содержащее отлаживаемый текст, окно 
Уем ЕЗР, где представлено содержимое стека и текущее значение ЕЗР, 
окно Сепега| ге $ег$, отражающее текущие значения общих регистров и 
регистра флагов, и окно Тйгеад$ с информацией о потоках приложения. 
Отладчик всегда показывает в списке тот поток, где происходят отладоч- 
ные события. Кроме этого, дополнительно можно открыть окно ЕРО 
гез$ег$ с содержимым регистров сопроцессора (окно открывается авто- 
матически, если выполняются инструкции арифметического сопроцессо- 
ра) и окно Модше$, где дан список загруженных модулей. 


О Можно выполнять пошаговое выполнение программы: Оеиреег | $ ер 
оуег (клавиша <Е8>) и Оефиргег | Эвер шо (клавиша <Е7>), выполнять до 
первой попавшейся команды гекагп (комбинация клавиш <СЫ1>+<Е7>), 
приостанавливать выполнение приложения (Бефиргег | Рацзе ргосез$). 


С Можно наблюдать за указанными ячейками памяти (окно У/аюй 156 
пункт меню Оефиррег | Уайз | У’акВ 150, задав их, используя пункт ме- 
ню Оебиреег | Уакв$ | Ада маки. 


С Можно использовать трассировку, т.е. запись состояния отлаживаемого 
приложения на каждом шаге отладки. Для управления трассировкой 
предназначено подменю ОеБиееег | Тгасше. Все трассировочные события 
отображаются в окне трассировки Тгасе мутдом. Можно отображать сле- 
дующие трассировочные события: выполнение инструкции, выполнение 
функции, операцию записи в память, операции чтения/записи, выполне- 
ние инструкции. 


5.2. Встроенный язык ША Рго 


Дизассемблер ГЛА Рго имеет встроенный язык программирования, с помо- 
шью которого можно писать небольшие программы анализа дизассемблиро- 
ванного кода, расширяя функциональность дизассемблера. 
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5.2.1. О встроенном языке ГРА Рго 


Встроенный язык ГРА Рго — сильно упрощенный язык С. Этот язык назы- 
вается сокращенно [ШС (от англ. /иегасйуе Оба5ет Мег С). Подкаталог ШС 
содержит несколько программ, написанных на этом языке, которые ДА Рго 
использует при анализе дизассемблированных текстов. Программы легко 
анализируются, так что на них можно изучать данный язык. 


Общие сведения 
Имеются два способа выполнять команды языка [ШОС. 


Первый способ заключается в использовании командного окна. Вызвать ко- 
мандное окно можно из меню Ейе | ОС сопитапё либо комбинацией кла- 
виш <5ШИ>+<Е2>. Внешний вид окна изображен на рис. 5.8. В поле редак- 
тирования вы можете вводить последовательность отделенных друг от друга 
точкой с запятой команд языка [ШОС. После нажатия кнопки ОК ШЛА Рго 
будет пытаться интерпретировать записанные команды и выполнить их. Та- 
ким образом, используя данное окно, можно писать простейшие программы 
на языке [ШС. 


магптия ("Не]110%!"); 
'Меззаде ("Не110%!"); 





Рис. 5.8. Командное окно 
для выполнения последовательности инструкций языка ОС 


Более основательный подход заключается в создании файла с расширением 
14с, который содержит текст на языке ГОС. Для загрузки программы ис- 
пользуется команда меню ЕЙ? | 14с Ше. При этом программа компилируется 
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и сразу выполняется. Кроме этого, в главном окне ТРА Рго появляется па- 
нель (рис. 5.9) с кнопками для запуска и редактирования программы. 





Рис. 5.9. Панель запуска 
и редактирования программы 


Структура программы и синтаксис языка С 
Рассмотрим структуру программ и синтаксис языка ГОС. 


Функции 
Как и в языке С, в языке ГОС программа состоит из функций, а выполне- 


ние программы начинается с выполнения функции па1п. Структура функ- 
ции имеет следующий вид: 


5$аЕ1с Рипс(ага]1, агд2, ...) 
{ 


} 


Все функции должны объявляться как зкаё1с. При задании аргументов не 
нужно указывать их тип. Последнее связано с тем, что в языке имеются 
только два типа переменных: строковые и числовые, принадлежность к ко- 
торым легко определить по первой операции присвоения. Все же преобра- 
зования типов осуществляются автоматически. 


Переменные 


Все переменные являются локальными и объявляются при помощи ключе- 
ВОГО СЛОВА аиео. Существуют два типа переменных: числовые и строковые. 
Строковая переменная может содержать до 255 символов. Числовые пере- 
менные делятся на два типа: 32-битные целые (со знаком) числа и числа с 
плавающей точкой. Тип переменной определяется транслятором при ее пер- 
вом присвоении. 


Особо следует обратить внимание на преобразование типов. Рассмотрим 
различные ситуации. 


(С Преобразование строкового типа в числовой целый тип. Если левая часть 
строки является десятичным числом, то результат будет равен этому чис- 
лу, в противном случае результат равен нулю. 
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Пример: 

ацбо а,Ъ,с,а; 

с="и"; а="а"; 

а="451"; 
Ь="12ЗамегЕ234"; 

с=а; а=5; 

Меззасче ("%а:$А\п",с,а); 


Будет напечатано 451:123. 


Замечание 


Функция Меззаде встроенного языка 10С осуществляет вывод информации в 
окно сообщений (или консоль сообщений). Это окно 1РА Рго открывает при за- 
пуске. Туда, в частности, выводятся сообщения о загрузке и анализе исполняе- 
мого кода. Функция Меззаде является аналогом стандартной функции ре1пЕЕ 
языка С. 


(С Преобразование числового целого типа в строковый тип. Преобразование 
довольно необычно для тех, кто привык, что такое преобразование про- 
сто сводится к замене числа на строку без изменения значения (2345 —> 
"2345"). Суть преобразования заключается в следующем: каждый байт 
числа справа налево преобразуется в символ в соответствующей кодиров- 
ке, но размещается в строке слева направо. Например: 


асЕо 11; 

азео а; 

а=0х4241; 

11="а"; 

11=а; 

Ме55аде ("%$5\п", 11); 

В результате выполнения фрагмента будет выведена строка "АВ". 


( Преобразование строкового типа в числовой тип с плавающей точкой. 
Данное преобразование осуществляется так же, как преобразование стро- 
кового типа в числовой целый тип. 

(С Преобразование числового типа с плавающей точкой в строковый тип. 
Здесь преобразование осуществляется по простой схеме: каждый разряд 
числа и десятичная точка преобразуются в соответствующий символ 
строки. При этом, однако, допускается некоторая потеря точности. При- 
мер: 
ацЕо 11; 
аосбо а; 
а=" "; 11=3.5; 
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а=сваг (11); 

Меззаде ("%$$5\п",11); 

Результатом выполнения фрагмента будет строка: 
3.5000000000000018318681 


Преобразование типов может возникнуть не только при присвоении, когда 
тип, стоящий справа от знака равенства, преобразуется к типу, стоящему 
слева от знака равенства. Преобразование типов происходит также: 


С если в арифметическом выражении имеется хотя бы один числовой тип с 
плавающей точкой, то все переменные выражения преобразуются к этому 
типу, так что действия в выражении осуществляются уже над веществен- 
ными числами; 


С если над переменной производятся битовые операции, то переменная 
рассматривается как переменная целого числового типа. 


Над переменными числового типа можно выполнять следующие операции: 
присвоение, сравнение, сложение, вычитание, умножение, деление. Кроме 
этого, над целыми переменными можно выполнять битовые операции: 


С >>, << — циклические сдвиги; 

СО & — битовое "И"; 

С ! — битовое "ИЛИ"; 

С - — битовое "НЕЁ"; 

С ^ — битовое "исключающее ИЛИ". 


Над целыми переменными можно также выполнять операции инкремента 
(++) и декремента (--). 


Над строковыми переменными можно осуществлять следующие операции: 
С = — присвоение; 
== — сравнение; 


(С + — конкатенация. 


Основные конструкции 


Язык ШОС поддерживает основные конструкции языка С, изменяющие ход 
выполнения программы: 


С условные конструкции 1Е, е1 зе; 

(С циклы мь!1е, до, ЬБгеак, сопе1пле; 

С цикл с параметром (счетчиком) Гог; 

С оператор возврата из функции гегогп. 

В языке отсутствуют такие операторы языка С, как дого И зм1Есн. 
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Директивы 


Язык ШС поддерживает следующие препроцессорные директивы, исполь- 
зуемые в языке С: 


О :аеЕ: те; 
О вплаеЕ; 
О +: остаае; 
С +егкок; 


С 1: ЕаеЕ, #1ЕпаеЕ, #е1зе, #епа1 Е. 


Управление строками 


Язык [ШОС поддерживает минимальный набор работы со строковыми пере- 
менными. В отличие от языка С, строка здесь является не последовательно- 
стью символов, а некоторым закрытым элементом (или объектом) неопре- 
деленной структуры, для которого существуют операция конкатенации 
(слиянияб) и несколько простых функций. 


Для операции конкатенации используется обычный знак +. Например: 


апфо $1,5$2,$3; 
$1="Не]1]о,"; 
$2="мог1а!"; 
$3=$1+" "+52; 


Меззаде ("%5\п", $3); 


Результатом выполнения фрагмента будет вывод в консоль сообщений стро- 
ки "Нео, мона!" 


Перечислю основные функции для работы со строками. 


(0 зег1еп — возвращает длину строки. Единственным параметром функции 
является строковая переменная или константа. 


С зегзёг — осуществляет поиск подстроки в строке. Первым аргументом 
функции является строка, где будет осуществляться поиск, вторым аргу- 
ментом — подстрока для поиска. Функция возвращает номер символа, с 
которого начинается найденная подстрока. Нумерацию символов в стро- 
ке принято отсчитывать от нуля. Если подстрока не найдена, то функция 
возвращает —1. 


С зоаьзег — функция выделяет (и возвращает) подстроку в строке. Первым 
параметром функции является строка, над которой будет осуществляться 
операция. Второй и третий параметры функции — это начальный и ко- 


6 От англ. 0 сопсаиепае — сцеплять, связывать, объединять. 
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нечный номера выделяемого фрагмента. Номера символов отсчитываются 
от 0. Функция возвращает выделенный фрагмент строки. 


С 1еоа — функция преобразует целое число в строку. Первый аргумент 
функции — числовая переменна или константа, второй аргумент — сис- 
тема счисления, в которой будет представлено число. Функция возвраща- 
ет строку, представляющую число в заданной системе счисления. В слу- 
чае ошибки возвращается пустая строка. 


С ако11 — функция осуществляет преобразование строки в целое число. 
Единственным аргументом функции является строка. В случае ошибки 
возвращается 0. 


5.2.2. Встроенные функции и примеры 
программирования на языке 0С 


Данный раздел не является справочником встроенных функций языка ОС, 
тем более, что в справочной системе ГРА Рго имеется перечень этих функций 
и, кроме того, есть хорошая книга Криса Касперски "Образ мышления — ди- 
зассемблер 1РА"7, где практически все функции описаны очень подробно. 
Я попытаюсь сделать небольшой обзор функций, наиболее важных для анали- 
за текста программ, и приведу несколько примеров их использования, оттал- 
киваясь от которых можно писать свои небольшие программы анализа. 


Кроме справочной системы ША Рго, информацию о встроенных функци- 
ях можно почерпнуть также в файле 1аслас (подкаталог ГОС), где хранятся 
определения констант и прототипы функций вместе с краткими к ним ком- 
ментариями. Этот файл предназначен для подключения к программам на 
языке ГОС, что мы и будем делать при помощи директивы #1пс10ае. Кроме 
этого, в том же каталоге имеются несколько примеров программ на языке 
ГОС, которые могут оказаться довольно полезны. 


Доступ к виртуальной памяти 


Напоминаю, что дизассемблер ША Рго перед тем, как анализировать ис- 
полняемый модуль, создает виртуальную память, куда потом и загружает 
этот модуль. Обрашаясь к конкретным ячейкам этой виртуальной памяти, 
мы тем самым обращаемся к загруженному туда программному коду, кото- 
рый к тому же еще предварительно проанализирован ЛА Рго. 


7 Крис Касперски. Образ мышления — дизассемблер ТЛА. — М.: СОЛОН-Р, 2004. 
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Передвижение по памяти 


Рассмотрим следующую программу на языке ГОС (листинг 5.8). 





#1пс1аае <1ас.1ас> 


зЕаЕ1с ша1п() 


{ 
ассо аа; 
ач=0х401020; 
\р11е (а4<=0х401041) 


{ 
Меззаде ("%х\п", аа); 
аЯ=МехсАЧаг (аа); 

}; 


Конечно, читателю, привыкшему ориентироваться в программах на языке С, 
не составляет труда осмыслить эту программу. С функцией меззаде мы уже 
хорошо знакомы, и остается только функция МехеАадахг. Понять ее смысл 
можно просто из названия. Функция возвращает следующий по отношению 
к значению своего аргумента линейный адрес. В случае если адрес не суще- 
ствует, то функция возвращает —1. Для этого значения в файле 14с.1Ас при- 
думана константа ВАРАОРВ. 


Результатом выполнения программы будет столбик адресов с адреса 
0%х401041 по адрес 0х401041 включительно. Разумеется, к тому же результату 
мы придем, если просто на каждом витке цикла будем добавлять к перемен- 
НОЙ аа единицу. Имеется также функция РгеуАааг, полностью аналогичная 
функции МехеАааг, но возвращающая предыдущий адрес. 


Наконец, существует еще одна весьма полезная функция, с помощью кото- 
рой можно выполнять поиск (передвигаться) последовательности байтов в 
дизассемблированном тексте. Это функция Е1п9В1паку. Первым ее аргумен- 
том является адрес, начиная с которого следует осуществлять поиск. Второй 
аргумент — флаг режима поиска. Нулевой бит флага определяет направле- 
ние поиска (0 — прямой поиск, 1 — поиск в обратном направлении), пер- 
вый бит указывает на чувствительность к регистрам символов (0 — не раз- 
личать регистры, 1 — различать регистры). Третий аргумент функции — 
последовательность кодов разыскиваемых байтов. Байты пишутся через 
пробел и заключаются в кавычки. Используется текущая система счисления. 
Функция возвращает адрес, с которого начинается искомая строка. В случае 
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если строка не будет найдена, функция возвращает —1. Пример вызова 
функции: 


а9=Е1паВ1пагу (0х404020,0,"34 АЕ 56 30") 


Чтение и запись 


Как я уже упоминал, функция МехеАадаг (И Ргеудааг) может возвращать —1, 
если следующий виртуальный адрес не существует. Это значит, что следую- 
щий адрес либо недоступен, либо неинициализирован. А как быть в том 
случае, если команда просто обращается по какому-то адресу? Как заранее 
узнать, сушествует или нет данный адрес? Для этого предназначена функ- 
ЦИЯ СееЕ1адз, единственным элементом которой является виртуальный ал- 
рес. Функция возвращает флаги этого адреса (атрибут). Нужные нам флаги 
проверяются при помощи константы ЕЕ_тУт (листинг 5.9), значение кото- 
рой определено в файле 14с.1ас. 


Для чтения из виртуальной памяти в языке ШОС предусмотрены три функ- 
ЦИИ: Вуе, Иога И Бмога. Аргументами всех трех функций является вирту- 
альный адрес. Соответственно функции возвращают байт, слово и двойное 
слово. 


В листинге 5.9 представлена программа, которая читает блок виртуальной 
памяти и выводит его в окно сообщений. 





#1пс]а4е <1ас.1ас> 


$6аЁ1с ма1п() 
{ 
асбо аЯ,1; 
Еог (а4=0х401020; аа<=0х401041; аа++) 
{ 
Меззасче ("%х........ ", аа); 
1Е (бе Е1а9$ (аа) & ЕЕ_ТУЬ) 
{ 
//печатаем значение прочитанного байта 
1=Вубе (аа); 
12 (1>31) 
Меззачде ("%х...%$с\п", 1,1); 
е15е 
Меззаде ("%х...\п", 1); 


}е] зе 
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{ 
//значение байта не определено 


Меззаче ("Еггог!\п"); 


Результат выполнения программы из листинга 5.9 можно увидеть в листин- 
ге 5.10. 





401020........ 8Ъ...‹ 
401021........ 44...) 
401022........ 24...3 
401023........ 4... 
401024........ ба...) 
401025........ 0... 
401026........ 68...В 
401027........ 0... 
401028........ 10... 
401029........ 40... 
40102а........ 0... 
40102Ъ........ ба 3 
40102с........ 0 
40102а........ 68...В 
40102е........ ес...м 
40102Е........ 50...Р 
401030........ 40...86 
401031........ 0... 
401032........ 50...Р 
401033........ ЕЕ...я 
401034........ 15... 
401035........ с8...И 
401036........ 50...Р 
401037........ 40...@ 
401038........ 0... 


401039........ ба...) 
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40103а........ 0.. 
40103Ь........ ЕЕ...я 
40103с........ 15... 
40103а........ 0... 
40103е........ 50...Р 
40103Е........ 40...86 
401040........ 0... 
401041........ сс...М 


Для записи в виртуальную память используются три функции: РаесьВуке, 
РаесНМога, Ракспрмока. Первым аргументом функций является адрес вир- 
туальной памяти, вторым аргументом — записываемая в память величина. 
В листинге 5.11 представлена простая программа (не требующая коммента- 
рия), анализирующая заданный блок памяти и изменяющая значения неко- 
торых байтов. 





#10с]10ае <1ас.1ас> 


5$аё1с па1п() 
{ . 
ацбо аа,1,); 
7=0х91; 
Рог (а9=0х401020; аа<=0х401041; аа++) 
{ 
1Е (бееЕ1ад$ (аа) & ЕЕ ТУЬ) 
{ 
1=Вубе (аа); 
1Е(1==0х50) РаЕспВу%е (аа, 5); 


Структура строки листинга 


В строке листинга ЛА Рго можно увидеть следующие элементы: инструк- 
цию процессора или данное, комментарий, метку или перекрестную ссылку. 
Это уже не обезличенные данные, с которыми мы имели дело в предыду- 
щем разделе. С другой стороны, со строкой листинга связаны определенные 
ячейки виртуальной памяти, в которых и хранятся коды инструкций или 
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данные. Рассмотрим, какие же функции можно использовать для анализа 
строки листинга дизассемблера. 


Я намеренно говорю "строка листинга", дабы объединить воедино разные 
элементы. Различные, прежде всего, по тому, где они хранятся. Если инст- 
рукции и данные располагаются в виртуальной памяти (файл с расширени- 
ем 141), то остальные перечисленные выше элементы располагаются в спе- 
циальных виртуальных массивах, которые хранятся в файле с расширением 
140. Однако для нас все это элементы строки, и поэтому я объединяю их в 
одном разделе. 


Выделение инструкций 


В листинге 5.12 представлена программа, выводящая на консоль сообщений 
ассемблерный текст в заданном промежутке адресов. 





И 


#1пс1а4е <1ас.1ас> 

$фае1с малп() 

{ 

ааео аа,1,); 
аЧ9=0х401000; 
ир11е (аа<=0х401042) 
{ 
//операнды представить в шестнадцатеричном виде 
ОрНех (аа, -1); 
//вывести адрес инструкции 
Меззасде ("%$10х ", аа); 
//получить типы операндов 
1=СебеОрТуре (аа, 0); 
]=СеЕорТуре (аа,1); 
//вывести имя инструкции 
Меззаде ("$$ ",СеЕМпем (аа) ); 
1Е (1>0) 
{ 

//вывести первый операнд (если он есть) 
Меззаче ("%$5",СетОрпа (аа, 0)); 
12(9>0) 

{ 
//вывести второй операнд (если он есть) 
Меззаде (",%5 \п",СеЕОрпа (аа,1)); 
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}е15е 
Меззасе ("\п"); 
}е15е 
Меззасе ("\п"); 
//перейти к адресу следующей инструкции 
аЯ=Мех%Неаа (аа, ВАБАОПОВ) ; 


Комментарий к программе из листинга 5.12 


С Главной в листинге является, конечно, функция МехЕНеаа. Первым аргу- 
ментом этой функции выступает некоторый виртуальный адрес. Второй 
аргумент — адрес, ограничивающий значение возвращаемого адреса. 
Я использую ВАБАРООВ, который в данном случае трактуется как положи- 
тельное целое число, т. е. ЕЕЕЕЕЕЕЕН (а не —1). Функция возвращает адрес 
первого байта следующей инструкции или данного. Есть и аналогичная 
функция, но возврашающая адрес предыдущей инструкции или данно- 
ГО — РгеуНеаа. 


С Функция сеЕМпем возвращает по указанному адресу имя инструкции 
(строку), которая с этого адреса начинается. Аргументом функции явля- 
ется адрес первого байта инструкции. 


С Функция сефОрпа возвращает операнд инструкции в виде строкового 
значения. Функция имеет два аргумента: адрес инструкции и номер (за 
минусом 1) операнда в инструкции, отсчитываемый слева направо. 


С Для форматирования выводимой таблицы мне пришлось также использо- 
вать функцию секорТуре. Функция возвращает тип операнда инструкции 
процессора. Первым аргументом функции является адрес инструкции, 
вторым — номер (за минусом 1) операнда в инструкции, отсчитываемый 
слева направо. Мы воспользовались просто тем фактом, что если операнд 
присутствует, то значение, которое возвращает функция, должно быть 
больше нуля. 


С Наконец, при помощи функции орНнех я задаю для каждой инструкции 
шестнадцатеричный формат вывода числовых операндов (если операнд — 
это число). Второй аргумент функции задает номер операнда. Значение — 
1 в программе означает, что функция должна распространять свое дейст- 
вие на все операнды инструкции. 


В листинге 5.13 представлен результат выполнения программы из листин- 
га 5.12. 
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401000 
401001 
401003 
401006 
40100а 
401014 
401015 
40101е 
40101Е 
401022 
401023 
401026 
401027 
40102с 
40102Е 
401030 
401035 
40103За 
40103а 
40103Е 
401041 
401042 


ра$В 


пох 
5иБ 
поУ 
ОУ 
пох 
пох 
разв 
поУ 
ра$В 
поУ 
разв 
са11 
ааа 
разв 
разв 
са11 
ааа 
хог 
ОУ 
рор 
геёп 


ебр 

ебр, езр 

езр, ОСЬ 

мог рег [ебр-4],ОАВ 
Чмога рЕг [ебр-8],ОВЬ 
Чмога рег ([ебр-0Сь],0св 
еах, [ерр-0СВ] 

еах 

есх, [ебр-8] 

есх 

еах, [ебр-4] 

еах 

зир 401050 

езр, ОСЬ 

еах 

4060001 

_ре1пЕЕ 

езр, 8 

еах, еах 

езр, еюр 

ебр 


Выделение данных 


Рассмотрим теперь, как разбирать имеющиеся в дизассемблерном листин- 
ге данные. Каждое данное занимает, по крайней мере, один байт. Какое 
данное начинается с указанного адреса, можно определить по битам атрибу- 
та байта, который находится по этому адресу. Типы данных и флаги для их 
определения из файла 14с.14с представлены в листинге 5.14. 





#аеЁ1пе 
#фаеЁ1пе 
#аеЁ1пе 
#+аеЁ1пе 
#+аеЁ1пе 


ЕЕ ВУТЕ 0%000000001, 
ЕЕ ИОВО 0%100000001, 
ЕЕ ИВО 0%200000001 
ЕЕ ОИВО 0%300000001, 
ЕЕ ТВУТ 0%400000001, 


// Буке 
// мога 
// амога 
// амогка 
// Еруе 
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#АаеЁ1пе РЕ АСТ 0%50000000Ъ // АЗСТТ ? 

#АеЁ1пе ЕЕ_5ТВО 0х60000000. —// ЗЕгасЕ ? 

#аеЕ1пе ЕЕ _ОМВО 0х70000000Т —// осфамога (16 Буеез) 

#аеЁ1пе ЕЁ _ЕТОАТ 0х80000000 —// ЕЛоаЕ 

#АеЕ1пе РЕ ОРООВЬЕ 0%х90000000Ъ —// аочр1е 

+АеЁ1пе ЕЕ _РАСКВЕАГ 0хА0000000Т —// раскеа аес\та1 геа1 


#АеЕ1пе ЕЁ АБТСМ 0хВ0000000. —// а11дпмепЕ 91гесЕ1уе 


В листинге 5.15 представлена программа, которая выводит на консоль со- 
общений адреса данных, их длину и тип. 





#1пс1оае <1ас.1ас> 


56аё1с ма1п() 
{ 
апео аа,1,); 
аЧ9=0х405546; 
ир1 ]е (ад<=0х405АЕЕ) 
{ 
аа=Мех%Неаа (аа, ВАРАООВ) ; 
//вывести адрес инструкции 
Ме$заде ("%$10х ",аа); 
//получить флаг 
1=СееЕ1ад9$ (аа); 


//проверка — данные ли это 


1Е(((1 & М5 С1$) == РЕ РАТА)) 

{ 
Ме$заде ("Рафа: $12е - %4, фуре - ",Т%етб512е (аа),1); 
1Е((1 & 0хР0000000) == ЕЕ ВУТЕ) 


{ 
Ме55асде ("Буфе\п"); 
сопе1пие; 
} 
1Е((1 & 0хР70000000) == ЕЕ МОВО) 
{ 
Ме5заде ("мога\п"); 


соп%1пае; 
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1Е((1 & 0хЕ0000000) == ЕЕ_РМВО) 
{ 

Меззасе ("дмога\п"); 

сопЕ1пие; 
} 
1#((1 & 0х20000000) == ЕРЕ_ОМВО) 
{ 

Меззаде ("амога\п"); 

сопЕ1тце; 


} 


12((1 & 0х20000000) == ЕЕ _ТВУТ) 
{ 
Меззасде ("Еруфе\п"); 
сопЕ1тце; 
} 
12((1 & 0хЕ0000000) == РЕ _А$СТ) 


{ 
Меззаде ("з$&г1п9 АЗСТТ\п"); 
сопЕ1пце; 
} 
1#((1 & 0х20000000) == ЕЕ_5ТВИ) 
{ 
Меззачде ("зЕхисЕаге\п"); 
сопетпае; 
} 
1Е((1 & 0х70000000) == ЕРЕ_ОМВЬ) 
{ 
Меззаде ("осфамога\п"); 
сопЕ1пме; 
} 
1((1 & 0х70000000) == РЕ_ЕТОАТ) 
{ 
Меззаче ("Ё1оаё\п"); 


сопЕ1пие; 
} 
1Е((1 & 0хР70000000) = 
{ 

Меззасде ("дочЬ1е\п"); 


сопЕ1пце; 


Г 


ЕЕ РОЧВЬЕ) 
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} 
1Е((1 & 0хЕ0000000) == ЕЕ _РАСКВЕАТ) 
{ 
Меззаде ("раске4 аес1та]1] геа1\п"); 
сопЕ1пое; 
} 
12((1 & 0х—0000000) == ЕР_АБТСМ) 
{ 
Меззаде ("а11ап\п"); 
сопЕ1пие; 
}; 
Мез5заче ("??\п"); 


} 
е]15е 


Меззасе ("?\п"); 


Комментарий к листингу 5.15 


С Мы видим, что в программе опять используется функция МехеНеаа, кото- 
рая является наиболее удобной функцией для передвижения по дизас- 
семблированному тексту. 


С Для определения типа данных мы учитываем флаги атрибута первого 
байта данных. Мы используем таблицу флагов из листинга 5.14, выделяя 
нужные биты командой 1 & Е0000000н. 


С Наконец, длину данных мы определяем при помощи функции теем$1те. 
Единственным аргументом данной функции является адрес первого байта 
данного. 


Результат выполнения программы из листинга 5.15 представлен в листин- 
ге 5.16. 





405548 Рафа: $12е - 160, суре - $зег1па АЗСТТ 
405678 Раба: $17е - 25, Фуре - $зЕг1лпа АЗСТ 
405698 Рафа: $12е - 177, Еуре - $Ег1од АЗСТТ 
405749 Рафа: $127е - 3, Суре - а119п 

40574с Баба: з17е - 35, фуре - $з%г1па АЗСТТ 
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40576Е Вафа: $17е 


ь 
НН 
< 


фуре - а119п 


405770 Раба: $12е - 12, буре - зЕгасбаге 
405а82 Пага: $12е - 66, буре - $Ег1па АЗСТТ 


405с84 Рафа: $12е - 2, фуре — мога 


Другие элементы строки 


Другие элементы строки — это комментарии (автоматически создаваемые и 
пользовательские), метки (программные метки и переменные) и перекрест- 
ные ссылки. Вы можете не только программно получать эти элементы, но и 
добавлять их в строку. 


В листинге 5.17 представлен взятый из файла 14с14с и прокомментирован- 
ный мной список возможных элементов и значений флагов первого байта 
инструкции или данного. 





#аеЕ1пе 
#4еЁ1пе 
+ае4пе 
#аеЁ1пе 
#аеЁ1пе 
#аеЁ1пе 


#АаеЕ1пе 


РЕ СОММ 0х%000008001 // Наз соптепЕ? 
// комментарий 
РЕ ВЕЕ 0х000010001, // Ваз геЕегепсез? 


// перекрестная ссылка 

ЕЕ ГТМЕ 0х000020001 // Наз пехе ог ргеу спе пез ? 

// строка многострочного комментария 

РЕ МАМЕ 0х000040001, // Наз изег-аеЁ1пеа папе ? 

// пользовательская метка (имя) 

ГЕ ТАВЬ 0х000080001, // Наз Чу паме? 

// метка (имя) 

ГЕ РЬОМ 0х%00010000Т, // Ехес Е1ом Егом ргеу 1т5егас&1оп? 
// перекрестная метка с предыдущей инструкции 

РЕ УАВ 0х00080000Т, // Т5 Бусе уаглаб1е ? 


// переменная (метка для данного) 


В листинге 5.18 представлена программа, осуществляющая просмотр лис- 
тинга, который генерирует [РА Рго, и поиск программных меток, которые 
затем выводятся на консоль сообщений. В строках, которые имеют метки, 
добавляется комментарий — строка "Метка". 





#1пс1о4е <1ас.1ас> 


5$аЁ1с малп() 
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ацбо аа,1,); 
аа=0х401с{е; 
ир11е (аа<=0х401441) 
{ 
аа=Мех%Неаа (аа, ВАПАОВВ) ; 
//вывести адрес инструкции 
Ме55аде ("$10х ",аа); 
1=СееЕ1ад$ (аа); 
1Е(1 & ЕЁ ТАВЬ) 
{ 
Меззасе ("%5 \п", СебТгаеМаме (аа) ); 
МаКеСопи (аа, "Метка!"); 


} е1зе Меззаде("\п"); 


Комментарий к листингу 5.18 


Поиск строк с метками осуществляется переходом от одной строки к другой 
и проверкой соответствующего бита у первого байта элемента (инструкции 
или данного) с использованием константы ЕР_ЪАВЬ. Для создания коммен- 
тария в программе вызывается функция Макебсопм. Первым аргументом 
функции является адрес строки, вторым аргументом — строка-комментарий. 


Работа с функциями 


Функция — это объект листинга, который может состоять из нескольких 
строк, содержащих инструкции. Функция имеет начальный и конечный ад- 
рес, а также другие свойства (листинг 5.19). Разбивка дизассемблированного 
кода на функции позволяет значительно улучшить читаемость листинга, а 
также понимание логики выполнения программы. 


В листинге 5.19 представлен перечень флагов, определяющих свойства 
функций, взятый из файла 1Аслас. 





#аАеЁ1пе РОМС МОВЕТ 0х000000011 // Еюпсе1оп Чоезп'& гебагп 
//не возвращает управление командой ге 
#АеЁ1пе РОМС ГАВ 0х000000021 // Еакг ЕапсЕ1оп 


//функция возвращает управление инструкцией гебЕ 
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#АеЁ1пе РОМС ТТВ 0х000000041т, // 11Югаку Еапс®1оп 
//библиотечная функция 
#аеЁ1пе ЕОМС ЗТАТТС 0х00000008. —// эеак1с ЕапсЕ1оп 
//статическая функция 
#аеЁ1пе РОМС ЕВАМЕ 0х00000010Т, // ЕспсЕ1оп изез Егаше ро1пеег (ВР) 
//функция использует регистр ЕВР для указателя 
//на локальные переменные и параметры 
#ЧеЁ1пе ЕОМС ОЗЕВЕАВК 0х000000201 // чзег Ваз зрес1Ё1еЧ Еаг-пе5з 
//определена пользователем как далекая (Ёаг) 
#аеЁ1пе РОМС НТОРЕМ 0х00000040Ъ —// а Н1ааеп Еапсе1оп 
//скрытая (свернутая) функция 
#аеЁ1пе ЕОМС ТНОМК 0х000000801, // ЕВопк (тр) ЕапсЕ1оп 
//функция-переходник, содержащая только 
//инструкцию )пр 
#аАеЁ1пе ЕОМС ВОТТОМВР 0х00000100Ъ // ВР ро1пе5 $о ЕПе Бобом 
//оЕ ЕНе экасКк Ёгаме 
//регистр ЕВР указывает на "дно" 


//стекового фрейма 


В листинге 5.20 представлена программа, которая выводит в консоль сооб- 
щений имена функций в заданном интервале адресов и устанавливает ком- 
ментарий для библиотечных функций. 





#1пс104е <1ас.1ас> 
5фаЕ1с ма1п() 
{ 
азбо аа, 5,1; 
аа=0х401000; 
\р11е (аа<=0х4030Ьс) 
{ 
з=СееЕГопсЕ1опМапе (а4); 
Меззаде ("%5\п", 5); 
1=СееГопс®1опЕ1а95$ (аа); 
12(1 & КОМС В) 
{ 
зееГКапсе1опСиЕ (аа, "Это библиотечная функция",1); 
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аа=МехеГапс1оп (аа); 


Комментарий к листингу 5.20 


С Для передвижения по функциям листинга, генерируемого ТА РГго, ис- 
пользуются функции МехЕРипсЕ1оп И РкеуРопсЕ1оп, единственным пара- 
метром которых является адрес функции. Функции возвращают: одна — 
адрес следующей функции (эту функцию мы используем в программе), 
другая — адрес предыдущей функции. 


С Программа выводит на консоль имена всех встретившихся ей функций, 
которые возвращаются функцией языка ШОС сеегопсЕ1опМаме. Аргумен- 
том функции может служить любой адрес, принадлежащий функции. 


С Для получения флагов функций применяется функция сееЕопсЕ1опЕ1адз. 
Флаги перечислены в листинге 5.19. 


С Программа устанавливает у всех библиотечных функций (которые при- 
знаются библиотечными ПЛА Рго) комментарий. Для этого используется 
функция зееЕипс&1опСие. Она имеет три аргумента: адрес функции, 
строковый комментарий, тип комментария. Для функций можно уста- 
навливать два типа комментариев: постоянный (параметр 0) и повторяе- 
мый (параметр 1). Первый комментарий присутствует только перед опре- 
делением функции, второй также дублируется (повторяется) во всех 
вызовах данной функции. 


Элементы интерфейса с пользователем 


Дизассемблер ДА Рго предоставляет минимальный набор функций для ав- 
томатизации управления вводом/выводом. Это вывод в консоль сообщений, 
которым мы уже многократно пользовались (функция Меззачде), управление 
курсором в дизассемблерном листинге, управление несколькими видами 
диалоговых окон и некоторые другие функции. 


В листинге 5.21 представлена простая программа, которая в заданном ин- 
тервале адресов ищет посЛедовательность из трех подряд илущих инструк- 
ЦИЙ РОЗН и перемещает курсор к этой группе команд. Для перемещения 
курсора используется команда латр, аргументом которой является виртуаль- 
ный адрес. 





#1пс1аае <1ас.1ас> 


5$а%*1с пма1п() 
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ацео а4, 3; 
аа=0х401000; 
у 11е (а4<=0х4030Ьс) 
{ 
1Е (СееМлем (аа) =="ри$зь" && 
СеЕМпем (МехеНеаа (аа, ВАРАОРВ) } =="ра$й" &&5 
сеЕМпем (МехЕНеаа (Мех+Неа@ (аа, ВАРАООВ)} , ВАРАОДОВ) } =="ризВ" 
) 
{ 
//перевести курсор по найденному адресу 
Затр (аа); 
//выход из цикла 
Бгеак; 
} 
аЯ=МехеНеаа (аа, ВАПАООВ) ; 


Другие возможности программного анализа листинга 
в [РА Рго 


Не имея возможности осветить весь перечень особенностей языка ШОС, 
точнее библиотеки функций, предоставляемых ГРА Рго, остановимся на не- 
которых интересных моментах. 


Структуры и перечисления 


В дизассемблере ДА Рго имеются встроенные возможности, позволяющие 
автоматически распознавать и определять такие важные элементы, прису- 
щие языкам высокого уровня, как структуры и перечисления. В ТЛА РГто и 
структура, и перечисление обладают тремя характеристиками, позволяющи- 
ми их идентифицировать: 


С идентификатор структуры или перечисления; 
С имя структуры или перечисления; 
С индекс структуры или перечисления. 


В листинге 5.22 представлена программа, выводящая на консоль сообщений 
список идентификаторов и имена всех структур, которые были обнаружены 
ТЛА Рго при анализе исполняемого кода. 
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#1ос1а4е <1ас.1ас> 
$$ае1с ма1п() 
{ 
апео п,1,3; 
п=0; 
мрт 1е (п!=-1) 
{ 
1=Сее5егкостТа (п); 
з=Сбее5 госМаме (1); 
п=СеЕМехЕ 5 Е кгосТах (пр); 
Меззасде ("%х %3\п",1, 3); 


Комментарий к листингу 5.22 


Функция беемехе$егостах возвращает следующий индекс структуры по за- 
данному индексу, функция сеё5Егоста — идентификатор структуры по ее 
индексу, Функция бееЗегосМаще — имя структуры по ее индексу. Следует 
иметь в виду, что значения индексов структур и перечислений могут изме- 
няться в процессе анализа (появление новых структур и уничтожение ста- 
рых), идентификаторы же остаются неизменными. 


Работа с файлами 


Встроенные функции позволяют работать с файлами. При помощи функции 
Сепегаеег11е можно сгенерировать отчетный файл. Данная функция экви- 
валентна использованию пункта меню ЕЙе | Ргодисе Ейе. 


Дизассемблер ША Рго поддерживает набор функций для управления фай- 
лами произвольной структуры. Этот набор функций в целом соответствует 
набору стандартных библиотечных файловых функций, определенных в за- 
головочных файлах 5.1 и ю.П. Перечислю эти функции: 


С Еореп — открыть файл; функция возвращает дескриптор, который затем 
используется в других функциях; 


#1озе — закрыть файловый дескриптор; 

#11е1епач&в — получить длину открытого при ПОМОЩИ {ореп файла; 
Едесс — прочитать один символ из файла; 

Ераес — записать один символ в файл; 

Есе11 — получить текущую позицию указателя; 


оооооо 


Езеек — переместить указатель в заданную позицию в файле. 





ПРИЛОЖЕНИЯ 


Приложение 1 





Представленная в листинге П] программа проводит простейшее исследова- 
ние РЕ-заголовка. Я не претендую на "чистоту" программирования. Единст- 
венной задачей, которую я перед собой ставил, — это демонстрация работы 
со ‘структурами модуля РЕ. 





#1пс1аае <и1паомз.Н> 

#1пс1аае <зЕа1о.1> 

НАМОГЕ орепЕ (спак * )}; 

РИОВО дефоЕЕ$ (ОМОВрО }; 

НАМОГЕ БЕ; 

ОИОВО п; 

МОВО м; 

ТМАСЕ 20$_НЕАОЕВ 14; 

ТМАСЕ_МТ_НЕАРЕВ$ 1м; 

ТМАСЕ_ЗЕСТТОМ НЕАРЕВ 13; 

ТМАСЕ _ЗЕСТТОМ_НЕАОЕВ а13[100]; 

ТМАСЕ ТМРОВТ_ОЕЗСВТРТОВ 118[1000]; 

ТМАСЕ ТНОМК РАТА 1%[1000]; 

ТМАСЕ ТМРОВТ_ВУ МАМЕ 11; 

ТМАСЕ ЕХРОВТ ОТВЕСТОВУ ех; 

ТМАСЕ ВЕЗООВСЕ ОТВЕСТОВУ га1; 

ТМАСЕ ВЕЗООВСЕ ОТВЕСТОВУ ЕМТВУ гае1 [30]; 

ТМАСЕ ВЕЗООВСЕ ОТВЕСТОВУ га2; 

ТМАСЕ ВЕЗООВСЕ ОТВЕСТОВУ ЕМТВУ гае2 [500]; 

ТМАСЕ_СОЕЕ_ЗУМВОТ$ НЕАШЕВ 11; 

ТМАСЕ РЕВОС ОТВЕСТОВУ 19а; 

спаг * з463$[]={"Опкпомпй зибзузвем\п", "бабзузеем аглуег\п", 
"ЗирзузЕет СОТ\п", "бибзузЕёем сопзо1е\п", 
"Зирзузеетм ?\п", "барзузеем ?\п", 
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"Зибзузеем 05/2\п", "ЗибзузЕет Роз1х\п"}; 
сах БаЕ[300],59Е1[300];; 
ОМОВО 1м п=0, 16 п=0; 
ОИОВО ехп [5000]; 
МОВО ехо[5000]; 
ОМОВО еха [5000]; 
//главная функция 
106 па1п (116 агас, сБаг* агдуУ[]) 
{ 
106 ехг=0,1; 
ГАВСЕ ТМТЕСЕВ 1; 
//проверка наличия параметров 
1Е(агдс<2) {ре1пЕЕ ("Мо рагапефегз!\п") ;ег=1; добо _ех1;}; 
//первый в списке - имя файла 
ре1рЕЕ("Е11е; %$5\п", ахау[1]); 
1Е((пЕ=орепЕ (агду[1])) ==ТМУАЦТО НАМОГЕ УАТОЕ) 
{ 
ре1пЕЕ ("Мо Е1е!\п"); 
ег=2; 
Ч0о _ех1Е;}; 
//определить длину файла 
СеёЕ11е512еЕх (ВЕ, &1); 
//прочитать заголовок 00$ 
1 (!ВеааЕ11е (ПЕ, &1а, з12еоЕ (14а), &п, МОГ) } 
{ 
ре1пЕЕ ("Веаа 20$_НЕАШГЕК еггог 1!\п"); 
ег=3; 
оо _ех1Е;}; 
1Е (п<$17еоЕ (14а) ) 
{ 
рг1пЕЕ ("Веаа 00$_НЕАБЕВ еггог 2!\п"); 
ег=4; 
оо _ех1Е;}; 
//проверить сигнатуру 00$ ('Мё') 
1 (1а.е пад1с!=ТМАСЕ 20$ $ЗТСМАТОВЕ) 
{ 
ре1пЕЁ ("Мо 00$ з1дпабоге!\п"); 


ег=5; 
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доЕо _ех1Е;} 

рг1пеЕ ("20$ з1дпабоаге 1$ ОК!\п"); 

1Е(14.е_1Еапем>1.ОцаЯРаг®) 

{ 
резоЕЁ ("Мо МТ з1дпаеоге!\п"); 
ег=6; 
оо _ех1Е;}; 

//вначале передвинем указатель 

ЗееЕ11еРо1пеег (Е,1А.е 1ЁЕапем, МО, ЕТТЕ ВЕСТМ); 

//прочитать заголовок МТ 
1Е{!ВеааЕ11Те (ВЕ, &1\, 5127е0Е (1м),&п, МОБ) ) 

{ 
рг1пЕЕ("Веаа МТ_НЕАГЕК еггог 1!\п"); 
ег=7; 
ово _ех1;}; 

1Е (п<512еоЕ (1м)) 

{ 
рг1пЕЁ("Веаа МТ НЕАГЕВ еггог 2!\п"); 
ег=8; 
оо _ех1{;}; 

//проверить сигнатуру МТ ('РЕ') 
1Е(1\.51дпаиге!=ТМАСЕ МГ $ТСМАТОВЕ) 

{ 
ре1пЕЕ ("Мо МТ з1дпабоаге!\п"); 
ег=9; 
оо ех1;} 

рефпсЕ ("МТ э1апабиге 1$ ОК!\п"); 

//здесь поработаем над структурой 
ре1пЕЕ ("Матег оЕ зесЕ1опз %А\п", 1м.Е11еНеа4ег. МопъегОЕ$ес&1оп5$); 
ре1пЕЁ("512е оЁ орЕ1опа1 Неа4ег %А\п", 
1м.Е1]еНеа4ег. $12е0ЁЕОр&1опа1Неааег); 
1Е((1м.Е11еНеааег.Срагасвег1$1с380х2000) !=0) руе1пЕЕ ("ОЪЬ-тодо1\п"); 
е1зе 
{ 


1ЁЕ(((1м.Е11еНеааег.Свагаскег1$%1с5&0х1000) !=0)) рхе1пЕЕ ("Зузбем 
поЧ1\п"); 


ретпЕЕ ("ЕХЕ-поЧаТ\п"); 
}; 
12 (1м.Е1]еНеааег.МасВ1пе ==0х014с) рхзпЕЕ("Ргосеззог Тпёе1\п"); 
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е1зе рг1п%Ё ("ОпКпомп ргосеззог\п"); 
//теперь опционный заголовок 
ре1пеЕ("Т1пКкег уегз1оп %а.%а\п", 
1м.Ор&1опа1Неааег.Ма)ог11пКегУегз1оп, 
1м.ОрЕ1опа1Неааег.М1пог11пкехУегз1оп); 
реп ЕЁ("512е оЁ соае %А\п", 1м.ОрЕ1опа1Неааек . $12е0ЁСоае) ; 
рг1пЕЁ("512е оЕЁ 111%&1а112е4 Чака %А\п", 
1м.Оре1опа1Неааег. $12е0Ё1п1%1а112еБафа); 
рг1пеЕ("$12е оЁ ип111&1а112еа аафа %а\п", 
1и.ОрЕ1опа1Неааекг. $12е0Е0п1п1%1а11хеЧБафа); 
ре1пеЁ ("Адагезз ОЁ Епегу Ро1лпе (ВУА) %хВ\п", 
1и.Оре1опа1Неааег .АаагеззОЕЕпекуРо1пе); 
ре1пЕЕ ("АЯагезз оЁ со4е (ВУА) %хВ\п", 1и.ОрЕ1опа1Неааег.ВазеОЕСоае) ; 
ре1пЕЁ ("АЧЯгезз оЁ Ааа (ВУА) %хп\п", 1м.Ор1опа1Неа4ег.ВазеОЁБака); 
рг1пёЁ("Ттаде Вазе %хН\п", 1м.ОрЕ1опа1Неааек.ТтадеВазе); 
ре1пЕЁ("512е ОЁ Ппаде %хВ\п", 1м.Оре1опа]1Неааег. $12е0ЁТтаде); 
рге1пЕЁ("51хе оЁ Неа4егз %хн\п", 1м.Орв1опа1Неааег. $12е0ЁНеааегз); 
ре1пЕЁ ("Зесё1оп А11дпмепе %хВ\п", 1м.ОрЕ1опа1Неадег . 5ес*1опА11апщеп*); 
реп Ё("Р11е А11опмепе %хр\п", 1м.ОрЕ1опа1Неааег. Е11еА11дпщеп®); 
рг1пеЁ("512е ОЁ 5%аск Везегуе %А\п", 
1м.ОрЕ1опа1Неааег. 512е0Е5$аскКВезегуе); 
рг1пеЁ("512е ОЁ 5ЗеасКк Соле %А\п", 
1м.Оре1опа1Неааег. $12е0Е5асКкСопие); 
рг1пЕЁ("$512е ОЁ Неар Везегуе %а\п", 
1и.Ор&1опа1Неааег. $12е0ЕНеарВезегуе); 
рг1пЕЕ("512е ОЁ Неар Сопи1е %А\п", 1м.ОрЕ1опа1Неааег. $12е0ЁНеарСопиа1{ ) ; 
ре1пЕЕ ("$5", заб $ [1м.Оре1опа1Неааек. Заюзузеем]); 
//список секций 
//виртуальные адреса таблицы некоторых таблиц РЕ 
ОМОВО \1=1м.ОрЕ1опа1Неааег .ПБафа01гес®огу[1].У1г6аа1Адагезз; 
ОМОВО уе=1м.ОрЕ1опа1Неааег.ВБа*а01гескоку[0].\У1гЕаа1Адагезз; 
ОМОВО уг=1м.ОрЕ1опа1Неааег.ПБа*а01гескогу[2] .У1гЕоа1Ааагезз; 
ОМОВО у49=1м.Ор&1опа1Неааег.ПБафа01гес®огу[6] .У1гЕиа1Адагезз; 
// 
ретпеЕ ("5бес&1опз:\п"); 
ре1пЕЁ(" Мапе — з12е\у 312еЕ аагЕ аагу\п"); 
ретпЕЕ ("------------------------------------------- \п"); 
10% 7=0; 
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Бог (1=0; 1<1\.Е1]еНеааегк .М№ирегОЕ$ ес®1опз; 1++) 
{ 
1ЁЕ(!ВеааЕ11е (ТЕ, &13, з12еоЕ (13), &п,МОГГ)) 
{ 
рг1п%Ё ("ТМАСЕ ЗЕСТТОМ НЕАГЕК еггог!\п"); 
ег=10; 
доЕо _ех1е; 
}; 
ре1пЕЁ ("$85 %6хп %6х, %6х5 %6хв\п", 
1$.Мапе, 1$.М1зс.У1г6иа1$12е,1$.512е0ЕВамраха, 
1$.Ро1пеегТоВамПафа, 1$.У1гепа1Ааагезз); 
а13[1}.У1"кпа1АЧагез$=15.У1тЕпа1АаЯгезз; 
а1$[1].Ро1пбсегТоВамОа&фа=1$з.Ро1пфеегТоВамрака; 
}; 
релпЕЕ ("-------------------нн-ененен--ене----------- \п"); 
релпеЁ("\п"); 
//таблица импорта 
ЗЕ (1!) 
{ 
ретпЕЕ ("Мо Иароге!\п"); 
}е1зе 
{ 
ре1пЕЁ("ПирогЕ зесЕ1оп оЕЁзее %хН у1геиа1 $хн\п", декоЕЁз (%1),\1); 
//вначале передвинем указатель 
ЗееЕ11еРо1пкег (ПЕ, дебкоЕЁЕз (%1) , МОП, ЕТЬЕ_ВЕСТМ); 
мВ11е (ТВОЕ) 
{ 
1Е (!ВеааЕ11е (ВЕ, &1щ[1п_п], з12е0Е (1м[ на п]), &п, МОБ) ) 
{ 
ре1пЕ ("ТМАСЕ_ТМРОВТ РЕЗСВТРТОВ еггог!\п"); 
ег=11; 
Чо6о _ех1*; 
}; 
1Е(1а[1а_п].СВагас&ег13&1сз==0&& [пи п].Маме==0)ргеак; 
_п++; 
}; 
//библиотеки 


ре1пеЁ("ТпрокЕ об)есёз:\п"); 
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Рог (1=0; 1<(116) Ш п; 1++) 
{ 
//вначале библиотеки ПШ, 
ЗеЕЕ11еРо1пкег (ПЁ, дебоЕЁз (1щ[1].Мате), МОШ, ЕТТЕ ВЕСТМ); 
ВеааЕ11е (ВЕ, БыЕ, 100, &п, №011); 
ре1пЕЕ ("%3\п",БаЕЁ); 
//теперь названия функций 
1Е(10[1].Огфа1па1Е1езЕТВопк!=0) 
Зе*Е11еРо1псег (ПЁ, дефоЕЁз (1щ[1].0г191па1Е1хзТвопк), 
МОБ, ЕТЬЕ ВЕСТМ); 
е15е 
ЗеЕЕ11еРо1пкет (ПЕ, дебоЕЁз (1[1].Е1кзЕТВипк),МОБЬ, ЕТЬЕ ВЕСТМ); 
1 п=0; 
рг1пеЕ ("ОЕЁЕзее оЁ АагезТпрАггау %хп ВУА оЁ АагезПирАггау %хИ\п", 
деЕоЕЕз (1щ[1] .ЕтузЕТнопк),1т[1]).Е1езЕТВопк); 
мр11е (ТВОЕ) 
{ 
ВеааЕ11е (ПЁ, &1% [18 п], 5312е0Е (1% [1% п]), &п,МОЬЬ); 
1Е(16[1& п].01.АдагеззОЕБаса==0) ргеак; 
1 п++; 
}; 
Еог(3=0; < (116) 1 п; ++) 
{ 
1Е((18[)].01 . АаагеззоЕРака&ТМАСЕ ОВОТМАТ, ЕЪАСЗ2)==0) 
{ 
Зее Е11еРо1п%ег (НЕЁ, дебоЕЁз (1%[]].11.Еогмагаег5г1па+2), 
МОБ, ЕТЬЕ ВЕСТМ); 
ВеааЕ11е (ВЁ,БаЁ, 100, &п, МОТ); 
ре1оЕЕЁ (" $3 %$хий $хр\п",БаЕ, 
дефоЕЕз (1%[)].01.Еогмагаег$&г1па+2), 
18[)].01.Еогмагаег5*г119+2); 
} е1зе рге1пЕЕ(" ОгЯ1па1 %А\п", 
1[)].01.АаагеззОЕРака&0хО000оЕЕЕЕ); 
}; 
}; 
}; 
//таблица экспорта 


ре1пЕЁ("\п"); 
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1Е(!уе) 
{ 
релпЕЁ ("Мо ехрог®!\п"); 
}е1зе 
{ 
ре1пеЕ ("Ехрог® зесе1оп оЕЁзеЕ %хВ у1гбла1 %хВ\п", дебоЕЁз (уе), уе); 
Зе*Р11еРо1пкег (ПЕ, дебоЕЕз$ (уе) ‚ МОБЬ, ЕТЬЕ ВЕСТМ); 
1Е(!Веааг11е (ПЕ, &ех, $12е0Е (ех)} , &п, МО.) ) 
{ 
рг1пЕЕ("ТМАСЕ ЕХРОВТ ОТВЕСТОВУ еггог!\п"); 
ег=12; 
Чо6о _ех1*; 
}; 
ЗееЕ11еРо1пкег (ВЕ, декоЕЁз (ех.Маще) , МОБ, ЕТЬЕ_ВЕСТМ); 
Веааг11е (НЕ, БаЕЁ, 100, &п, МОТ) ; 
ре1пЕЕ("ЕхрогЕ поЯу1: %$3з\п",БаЕЁ); 
ре1пеЕ("Мамрег оЁ ЕРапсе1оп$: %А\п", ех. МоирегОЕГопс®1опз$); 
ре1пЕЕ ("Мапрег оЁ памез: %А\п", ех. №прегОЕМапез); 
ре1пЕЕ ("Ога па1 Базе $%А\п", ех.Вазе); 
//массив указателей на имена экспортируемых функций 
Зе*Р11еРо1пкег (ВЕ, дебоЕЕз (ех.АЧагеззОЕМащез) , МОБ, ЕТЬЕ _ВЕСТМ); 
Еог(1=0; 1<ех.МопрехгОЁЕМамез; 1++) 
Веааг11е (НЕЁ, &ехп (1],4, &п, МОШ,); 

//массив указателей на ординалы экспортируемых функций 
ЗеёЕ11еРо1пкег (ПЕ, чекоЕЕ$ (ех.АЧагезОЕМатеОга1па1$) , МОШЬ, ЕТЬЕ_ВЕСТМ); 
Еог(1=0; 1<ех.МаирегОЕМатез; 1++) 

ВеааЕг11е (НЕЁ, &ехо[1],2, &п, МОГ); 
//массив указателей на адреса экспортируемых функций 
ЗееЕ11еРо1пкег (ПЕ, дебоЕЕ$ (ех.АдагеззОЕЕопс1оп$) , МОЬЬ, ЕТЬЕ ВЕСТМ); 
Еог(1=0; 1<ех.МомрегоЕРГопс®1оп$; 1++) 
ВеаЧЕ11е (НЕЁ, &еха[1],4, &п, МО); 
резпеЕ("\п"); 
ре1пеЕ ("Маме оЁ РапсЕ1оп ога УАаг\п"); 
релпЕЕ ("--------------ене---н-----------------=------- \п"); 

//вывод имен экспортируемых функций 

Рог (1=0; 1<ех.МопрегОЕМамез; 1++) 


{ 
ЗеёЕ11еРо1пеег (ПЕ, дебоЕЁ$ (ехп[1]),МОБЬ, ЕТЬЕ ВЕСТМ); 
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ВеааЕ11е (ПЕ, БаЕ, 300, &п, МОЬГ); 


рг1п&Е ("$305 $4а $%$8хА\п",БаЕЁ, ехо [1] +ех.Вазе, еха[ехо[1]]); 


}; 
//работа с ресурсами 
резпЕЕ("\п"); 
1Е(!УЕ) 
{ 
ре1пЕЁ ("Мо гезойгсе!\п"); 
}е15е 
{ 
РИОКО оЕЁгез=девоЕЕЗ (уг); 
резпЕЕ ("Везосгсе: оЕЁзее %хН У%1г6ца1 %$хН \п", оЕЁгез, уг); 
ЗеёЕ11еРо1псег (ПЕ, оЕЁгез, МОШЬ, ЕТЬЕ ВЕСТМ); 
КеааЕ11е (НЕ, &га1, $12ео0Е (га1) , &п,МОШ) ; 
//1-й уровень 
ре1пЕЕ ("Марек оЕЁ вуре $4 \п", га1 .№альекОЕТаЕпег1ез); 
//вначале пропустить га.МииюегОЕМамеяЕт*г1ез записей 
Рог (1=0; 1<ка1 .МопрегОЕМамечЕтег1е$; 1++) 
ВеаЧЕ11е (ПЕ, &г4е1 [1], 5312еоЕ (г4е1[1]), &п, МОЬЪ); 
//перечень типов ресурсов запомнить в массиве 
Рог (1=0; 1<га1 .МопрегоЕТАЕпетг1ез; 1++) 
ВеааЕ11е (ПЕ, &г4е1 [1),312е0Е (г4е1 [1}) ‚ ап, МОТ); 
//вывод типов ресурсов 
Рог (1=0; 1<га1.МопрегОЕТАЕп®г1ез; 1++) 
ре1пеЕ ("Туре 1АепЕ1ЁЕу: %А\п", гае1 [1] .Маме); 
//2-й уровень 
рг1пеЕЁ ("1$ оЁ гезоцгсе:\п"); 
Еог(1=0; 1<ка1 .МопрегОЕТАЕпт®к1е$; 1++) 
{ 
Зе Е11еРо1пкег (ВЕ, 

(гае1[1].ОЕЕзееТорафка & Ох7ЕЕЕЕЕЕЕ) +оЕЁгез, МОЬЬ, ЕТЬЕ ВЕСТМ); 
ВеааЕ11е (ВЕ, &га2, $12еоЕ (га2) , &п, МОЬЬ) ; 
рг1пеЁ("*Туре оЁ гезойгсе: $%$Аа\п", гае1[1].тТа); 

Рог (]=0; )<га2 .МоирегОЕМамеяЕт® г1ез+га2 . №оибегОЕТАЕпег1е$; 5++) 
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ВеааЕ11е (НЕЁ, &г4е2 [)],3з12е0Е (гхае2 [1]), &п, №М0Ш.); 
Рог (]=0; )<га2 .№апрегОЕМамеяЕпег1е$+га2 .МапьегоЕТАЕ пе т1ез; )++) 
{ 
1Е(! (гае2[]] .Маме & 0х80000000)) 
{ 
ре1пЕЁЕ(" -Кезопгсе 1Чеп®1ЁЕу %А\п", гае2 [1] .Маме); 
} 
е15е 
{ 
ЗеЕЕ11еРо1пбех (ВЁ, (гае2(7].Маме & Ох7ЕЕЕЕЕЕЕ) +оЕЁгез, 
МОТ, ЕТЬЕ_ ВЕСТМ); 
ВеааЕ11е (НЕЁ, &м, 2, &п, МОЬЬ) ; 
ВКеааЕ11е (ВЕ, БоЁ, 2*щ, &п, МОГ) ; 
//перекодировка из Оп1соае 
И1АеСпагТоМа11Вуе (СР_ОТЕ7,0, (ЪРСИЗ$ТВ) (раЕ), п, ЮчЕТ, 300, 
МОБ, МОЪЬ) ; 


рг1пЕЕ(" -Маме оЁ гезойгсе: %$$\п",БаЕ1); 


}; 
}; 


}; 
//проверим отладочную информацию 

релпЕЁЕ("\п"); 

1Е(!Уа) 

{ 
ре1пЕЁЕ ("№ ЧеБад ваб1е!\п"); 

}е15е 

{ 
ОМОВКО оЕЕЧБа=декоЕЕЗ (9); 
рг1п&Е("Бебад $аю1е: оЕЁзее %хН \у1г6аа1 %$хВ \п", оЕЕаБа, Уч); 
ЗеЕЕ11еРо1пфекг (НЕЁ, оЕЕара, МОШЬ, ЕТЬЕ_ВЕСТМ); 
ВКеааЕ11е (ПЕ, &144, $12еоЕ (1499) , &п, №014}; 
рг1пЕЕ ("Туре оЁ аебоад 1пЕогиаЕ1оп: %А\п",1аа.Туре); 
//для СОЕЕ-информации 
1Е (1аа.Туре==1) 
{ 
ЗеЕЕ11еРо1пеег (ВЕ, 1аа. Ро1пеегТоКамрафа, МОТ., ЕТЬЕ ВЕСПМ); 
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ВеааЕ1]е (ПЕ, &11, $12е0Е (11), &п,МОЬЬ); 
ре1пЕЁ("ВУА оЁ Ё1хз® 11пе побег: %хВ\п", 
1аа.Ро1пеехТоВам Вах а+11 .1уаТоЁЕ1гз&1пепипрег); 


} 
1Е(!1м.Е1]еНеааег .Ро1п%кегТобупфо1ТаЬ1е )} 


{ 
резпЕЕ ("Мо зупбо]1 $аБ1е!\п"); 
}е1зе 


{ 
ОИОВО оЕЁзут=девоЕЕ$ (1\.Е11еНеааехг. Ро1пкегТобутро1ТаЪ1е); 


рг1пЕЕЁ ("5упфюо1 $ар1е: оЕЁзее $хН у1геаа1 %хВ \п", 
ОЕЁзум, 1м.Е11еНеааег ‚ Ро1п6егТобупро1ТаЪ1е); 


}; 


//закрыть дескриптор файла 
_ех1: 
С1озеНапа1е (ВЕ); 
геготп ег; 
}; 
//функция открывает файл для чтения 
НАМОЬЕ орепЕЁ(спаг * пЕ) 
{ 
гесагп СгеавеЕ11е (пЁ, 
СЕМЕВТС ВЕАО, 
ЕТТЕ ЭНАВЕ МВТТЕ | ЕТЬЕ ЗНАВЕ ВЕАО, 
мог, 
ОРЕМ ЕХТЗТТМС, 
МОБ, 
МОЪЬ); 
}; 
//определение смещения в файле РЕ по относительному виртуальному адресу 
РИОВО дебоЕЕ$ (ОМОВО у$т) 
{ 
ОМОВО #1=0; 
1Е (Узт<а1$[0].У1гбаа1Ааагезз) геботгп Ё1; 


Рок (1пЕ 1=0; 1<]1м.Е1]еНеа4ег. МопрегОЕ$ес&1опз; 1++) 
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{ 
1Е (Узш<а1$[1].\1гепа1Аааге$$&&1>0) { 
Е1=а1$[1-1].Ро1пбегТоВамПа&а+ (У$т-а1$[1-1].У1г6аа1Адагезз); 

ргеак;}; 

}; 

1Е(1==1м.Е1]еНеааег. №опрегОЁЕ$ес®10оп$) 
Ё1=а1$[1-1].Ро1пкегТоВамОака+ (узт-а1$[1-1].У1гбла1Ааагез$}; 

гебагп ЕЁ1; 


}; 


В листинге П2 представлен пример работы программы с одним из загру- 
жаемых модулей. 





Е11е: рг1]мег42.ехе 


205 з1апабоге 13 ОК! 

МТ з1дпабиге 15$ ОК! 

№отрег оЁ зес®1опз 4 

$1ге оЁ орЕ1опа1 ПВеааег 224 
ЕХЕ-поа11 

Ргосеззог Тпрёе1 

Т]рКег уегз1оп 5.12 

$1хе оЕЁ соае 1024 

$12е оЕ 11161а11хеа Чаба 2048 
$12е оЕЁ ип1п1&1а112е Чаба 0 
Ааагез$ ОЕ Епегу Ро1п® (КУА) 10008 
Ааагез$ оЕ сое (ВУА)} 10008 
Ааагезз оЁ Чаба (КУА) 20008 
Тиаде Вазе 4000008 

$12е ОЕ Ппаде 50008 

$12е оЁ Неа4егз 4008 

бесе1оп А11аптеп® 10008 

Е1]е А!11аптепе 2008 

$12е ОЁ Зфаск Везегуе 1048576 
$12е ОЕ 5еаск Сопиле 4096 
3$12е ОЕ Неар Кезегуе 1048576 
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312е ОЕ Неар Сопи1е 4096 
Забзузеет СОТ 


ЗесЕ1о0п$: 
Мате $12еу $12еЕ аакЕ аагу 
сехе 214В 4008 4008 10008 
гаа*а 23ев 4008 800в 20008 
Чаеа 918 2008 с00в 30008 
ЕЗЕС 1508 2008 е00в 40008 


ГирогЕ зесЕ1оп оЕЁзеЕ 8а4Н \у1г6аа1 20а4Н 

ГарогЕ об]есез: 

\15ег32.411 
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СгеаЕеМ1пЧомЕхА 94еп 214ев 
РеЕИ1паомРгосА 9608 21608 
015$раксрМеззадеА 9728 21728 
СеЕМеззадед 9861 21868 
ТоаЧаСогзогА 9941 21948 
МеззадеВохА 9401 21408 
Ро5*Ол1ЕМеззаде Эаен 21аеп 
Веч1з$егС1аззА 9Эс0Н 21с08 
ЗВомИ1паом 9425 21а28 
Тгап$1асеМеззаае 9ебн 21е08 
Ораасей1паом 9Е4н 21Е4Н 
ГоаЧМепоА 9341 21348 
ТоаЧТсопА 9Эа2Н 21а28 
Зе{Мепа 92ай 212ай 

Кегпе132.а11 

ОЕЁЕзее оЁ АагезТтрАггау 8001 КУА оЕЁ АагезТпрАггау 20008 
Ех16Ргосез$$ а10В 22108 
СеЕМодо1еНапа1еА а1еН 221ей 


№ ехрог\! 


Везоцгсе: оЕЁзее е00Н ух1:еиа1 40008 
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М№олюег оЁ $уре 1 
Туре 1Ааепе1ЁЕу: 4 
115$ оЕ гезойгсе: 
*Туре оЁ гезойгсе: 4 


—Маме оЁ гезочгсе: МЕМОР 


Ребад $аб1е: оЕЁзеЕ 8501 \%1г6ца1 20508 
Туре оЁ аебоа 1пЕогиае1оп: 1 

ВУА оЕЁ Е1г$е 11пе попег: 10001 

Зумбо1 $аБ1е: оЕЁзеф 4208 у1г%&да1 10208 
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Описание компакт-диска 


Содержимое диска разбито на каталоги. Каждый каталог соответствует своей 
главе или приложению. В свою очередь каждый каталог состоит из подката- 
логов, где хранятся листинги, приведенные в тексте книги. Названия ката- 
логов и подкаталогов соответствуют номерам глав и номерам листингов. 
В подкаталогах р1сигез хранятся схемы, используемые в книге. 


Листинги, представляющие собой программы, хранятся в виде полных про- 
ектов, так чтобы их можно было сразу загрузить и откомпилировать в соот- 
ветствующей среде программирования (например, У1биа| С++ или ВоЦапа 
С++). Для всех программ в каталоге содержится и уже готовый исполняе- 
мый модуль. Это относится и к программам на языке ассемблера, для 
трансляции которых использовался транслятор МАЗМЗ2. Другие листинги 
представляют собой файлы в формате АЗСП. 


Каждый подкаталог содержит файл геад.те в формате АЗСП с кратким по- 
яснением к листингу. 


Литература 





Книги автора по программированию в операционной системе \УИт4о\з: 


1. Пирогов В. Ю. Ассемблер для \Ишдо\5. 3-е изд. — СПб.: БХВ-Петербург, 
2005. 


2. Пирогов В. Ю. Ассемблер на примерах. — СПб.: БХВ-Петербург, 2005. 


3. Пирогов В. Ю. Ассемблер учебный курс. 2-е изд. — СПб.: БХВ-Петер- 
бург, 2003. 


4. Пирогов В. Ю. Программирование на \У!5иа| С++ „МЕТ. — СПб.: БХВ- 
Петербург, 2003. 


Предметный указатель 


.6$$ 210 
„ааа 210 


3 


ЗОМ№ ом 173 


А 


АМЗГ 55 
АррИсайоп Рговгат ИщеГасе (АРТ) 54 
А$СП 28, 215 


В 


Вазе 89 

Впагу-Со4деа Оесита! (ВСО) 17 
ВгеаК рот! 71, 153 

ВийЙег оуегЙо\ 265 


С 


СОЕЕ 120 
Соттоп ОБес+ ЕЙе РЕогтах (СОЕР) 97 
сот-программа 380 
Соп4Шопа! БгеаКротЕ оп 1троп 178 
Соп4Шопа! бгеаКроии$ 175 
Сопаюпа! 108 БгеаКроии 
оп ипроп 178 
СопШюпа! 1огзше БгеаКроши 176 
СУ 133 
СУ! 39 


Ритр 5 


Рака! 249 
Ноайпе Рош! пи (ЕРИ) 383 
ЕРО-оптимизация 148 


С 
СОТ 22 
Старые О$ег Ицегасе (СОТ) 55 


Н 


НЕХ-редактор 155 
пупа 69 


| 


ГРА РГго 150, 184, 375 
встроенный язык 
программирования ГОС 401 
интерфейс 377 
ключи запуска 390 


примеры исследования кода 391 


]пдех 89 
ПМТ 3 178 
ГВР 369 


Предметный указатель 


К 


Кегпе] тоде дебивеег 335 
Кегпе! Ргосез$ Епутгоптеп" В]осК 
(КРЕВ) 368 


М 


МА$М32 92 

тетогу юг Б-цтее 377 

Метогу Еогтае (МР) 95 

Меббаве БтеаКрошпЕ оп С!аз$Ргос 177 
ММХ-расширение 49 

МОР 85 

М$ОМ 196 

МА 97 


О 


ОПУОБ» 154, 181 
интерфейс 171 
исправление исполняемого 

модуля 180 

окно наблюдения 179 
поиск информации 179 
точка останова [75 

Огата! 115 

Ота!пагу БгеаКрош5 175 

05/2 55 


Р 


РОВ 133 

Роца Ме ЕхесшаЫе (РЕ) 97 
РОЗХ 55, 106 

Ргосе$$ 1Чепийег (РГО) 343 


В 


В/М 85 

Кеегепсе сои 219 

КЕС/КОП 85 

гезл%ег 242 

Ве!айуе шухгисноп Роииег (ВТР) 383 
Ке!айуе Ущиа! Адагезз (ВУА) 105 


443 


КеюсаНоп 1аЫе 110 

Кетое дебирвег 335 

В[5С 149 

Кипите (уре 14епийсаноп (ВТТГ) 382 


5 


Зсае 89 

Зегу!се$ 55 

ЗоЙ1СЕ 154, 335 
встроенные функции 371 
горячие клавиши 348 
загрузчик 339 
интерфейс 336 
команды дополнительные 369 
команды информационные 364 
команды отладчика 351 
команды получения информации 

в окнах 355 
команды трассировки 363 
команды управления окнами 353 
команды управления точками 
останова 359 

операторы 370 
процедура окна 347 
процесс 342 
точка останова 343 

Уаск оуегЙо\з 265 

Угисшгеа Ехсерноп Нап@Ип? 

(ЗЕН) 327 

Зи 98 

ЗУ 39 

Зутбо! Гоадег 335 


Т 


{75 307 

Тргеаа Епмгоптлеие Воск (ТЕВ) 327 
Тргеад пРогтаНоп В]осКк (ТВ) 328 
Товёе БгеаКротпЕ оп ипрой 178 

Т$$ 22 


О 


Отсоде 55, 215 
Ч-конвейер 203 


444 


У 


\У-конвейер 203 


\ 


\!32Оазт 150, 161, 183 
вывод импортируемых 
и экспортируемых функций 165 


Адресация: 
косвенная 205 
Арифметический сопроцессор 15, 
38, 212 
Архитектура ММХ 48 
Ассемблер 5 
Атрибут 376 


Б 


Байт 7 
МОР В/М 85 
УВ 89 
Бит 7 
инвертирования 85 
Блок: 
окружения потока 327 
описания процесса уровня 
ядра 368 
Буфер протокола окна команд 350 


В 


Виртуальные функции 314 
Вложенные процедуры 253 
Время выполнения программы 204 
Выравнивание: 

данных 209 

секций 106 


Предметный указатель 


загрузка модуля для отладки 166 
интерфейс 161 
модификация кода данных 

и регистров 168 
операции с текстом 166 
отображение данных 164 
отображение ресурсов 165 
перемещение по тексту 163 
установка точки останова 168 


Главное окно 69 


Д 


Дамп 5 

Дескриптор процесса 140 

Деструктор 320 

Диалоговое окно: 
модальное 72 
немодальное 76 

Дизассемблер 5 
специализированный 151 


И 


Идентификатор процесса 141, 343 
Информационный блок потока 328 
Исключение 39 


К 


Код: 

регистров 82 

условия 85 

условных переходов 84 
Команды: 

ММХ 23 

ввода/вывода 27 

идентификации и управления 

архитектурой 37 


Предметный указатель 


микропроцессора 23 
обмена с управляющими 
регистрами 37 
обработки цепочки битов 35 
передачи управления 32 
поддержки языков высокого 
уровня 34 
прерываний 35 
работы со стеком 27 
синхронизации процессора 35 
управления защитой 36 
управления кэшированием 37 
управления флагами 32 
целочисленной арифметики 28 
Команды сопроцессора: 
арифметические 44 
передачи данных 41 
сравнения данных 43 
трансцендентные функции 46 
управления сопроцессором 47 
Консоль 55, 56 
сообщений 404 
Консольные приложения 55 
Константа 207 
Конструктор 320 
Контекст процесса 343 
Контрольная точка 22 


М 


Макрос 351 

Мантисса 15 

Массив 222 

Математические вычисления 325 
Монитор 160 


Н 


Наследование 311 
Нормализованный вид числа 15 


О 


Объект 304 
динамический 309 
статический 305 


Оператор выбора 287 
Операция: 
логическая 30 
сдвиговая 30 
строковая 31 
Оптимизация цикла 295 
Ординал 113, 115 
Особая ситуация 39 
Отладка 173 
Отладчик 152 
Относительный виртуальный 
адрес 105 


П 


Перекрытие кода 133 
Переменная: 
вещественная 215 
временная 236 
глобальная 201, 207 
локальная 229 
размер 202 
стековая 229 
целая 215 
Переполнение: 
буфера 265 
стека 265 
Полиморфизм 314 
Префикс 79 
Приложение: 
графическое 66 
консольное 56 
на основе диалоговых окон 72 
оконное 66 
Программа: 
Ые\м.ехе 158 


445 


Пебизрав Тоо!$ ог \Мтдо\$ 153 


Бере.ехе 151 

дитрЫп.ехе 147 

НасКег Ме\мег (ме\.ехе) 155 

Тагбо ОеБиввег 152 

\УМпНех 155 
Программа-заглушка 98 
Пролог функции 202 


Простая условная конструкция 275 


446 


Процедура 244 
передача параметров 244 
рекурсивная 244 


Р 


Разворачивание цикла 296, 299 
Регистр: 
состояния (слово состояния) 39 
управления (слово управления) 39 
Регистрация класса окон 69 
Регистровый вызов 247 
Регистры микропроцессора 18 
отладки 22 
рабочие 18 
флагов 19 
сегментные 20 
сегментные адресные 22 
управляющие 20 


С 


Секция: 

.6$$ 110 

„СВТ 110 

„даба 109, 123 

.4еБи8 110 

‚едайа 110 

лсо4е 110 

ааа 110 

„газа 110. 

„ге]ос 110 

„г$гс 110 

Дехе 109 

СОПЕ 109 

СВТ 110 

РАТА 109 
Система счисления: 

двоичная 8 

десятичная 7 

позиционная 8 

шестнадцатеричная 10 
Системные вызовы 54 
Слово 12 


Предметный указатель 


Службы 55 
Спаривание команд 203, 298 
Спецификатор формата 245 
Ссылка: 
перекрестная 94, 384 

Стек сопроцессора 39 
Структура 223 
Структурная обработка 

исключений 327 
Счетчик ссылок 219 


Т 


Таблица: 
виртуальных функций 316 
импорта 112 
перемещений 110 
секций 108 
символов 119 
экспорта 114 
Тетрада 10 
Тип данных: 
строковый 215 
Точка останова 22, 71, 168, 175, 
343, 359 
аппаратная 178 
в окне Метогу 178 
на область памяти 178 
на сообщение УМтдо\$ 176 
на функции импорта 178 
обычная 175 
одноразовая 343 
постоянная 344 
условная 175, 344 
условная с записью в журнал 176 
Точка прерывания: 
на сообщение 346 
Трассировка 401 


У 


Удаленная отладка 335 

Указатель 205 

Условная конструкция: 
без переходов 286 
вложенная 282 


Предметный указатель 447 


Ф Число: 


беззнаковое целое 11 


Функция 244, 419 вещественное 15 
виртуальная 311 двоично-десятичное [7 
главного окна 69 длинное вещественное 16 


короткое вещественное 16 

неупакованное 17 

расширенное вещественное 16 
Ц с плавающей точкой 212 

со знаком 13 


Цикл 290 
упакованное 17 


вложенный 302 
обработки сообщений 66, 69 
простой 291 С. 


со сложным условием выхода 300 
у д Эпилог функции 202 


Ч Я 


Числа с плавающей точкой 16 Язык программирования ГОС 402 


Ячейка памяти 7 


Пирогов В. Ю. 


Ассемблер для \Ипао\м5$, 
3-е издание 
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Магазин "Новая техническая книга" 
СПб., Измайловский пр. д. 29, тел.: (812) 251-41-10 


Отдел оптовых поставок 
Е-тай: ор1@ БИУ.$рьЬ.зи 


Язык, который не стареет 


Прочитав книгу, вы в короткий срок научитесь 
создавать компактные и быстрые приложения 
для \Утдо\м$ на ассемблерах МАЗМ и ТАЗМ. 
Рассмотрены разработка оконных и консольных 
приложений, создание динамических библиотек, 
многозадачное программирование в локальной 
сети, в том числе и с использованием сокетов, а 
также простые методы исследования программ. 
Изложенный материал снабжен большим коли- 
_ чеством примеров, которые позволят не только 
освоить › программирование на ассемблере, но и будут полезны для 
создания практических приложений. 


`3-Е ИЗДАНИЕ 





Пирогов Владислав Юрьевич, кандидат физико-математических наук, 
профессор кафедры новых информационных технологий в образова- 
нии Шадринского государственного педагогического института, про- 
граммист с 20-летним стажем работы, автор книг "Ассемблер. Учеб- 
ный курс", "Программирование на У15иа! С++ „МЕТ", "Масгозой 5О9Ё 
Зегуег: управление и программирование", а также популярного сайта 
"Ассемблер и не только" (Б@р:/а$т.Вадгт$К.пе!). 
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Магда Ю. С. 


Использование ассемблера 
для оптимизации программ на С++ 


Магазин "Новая техническая книга" 
СПб., Измайловский пр., д. 29, тел.: (812) 251-41-10 


Отдел оптовых поставок 


Е-тай: ор{@ БИу.$рЬ.зи 


ИСПОЛЬЗОВАНИЕ 
АСОЕАВИЕРА 
для опти мизАЦИИ 
ПРОГРАМИ НА ++ 





Технология разработки 
высокоэффективных приложений 


Применение языка ассемблера в приложениях, 
разрабатываемых на С++, позволяет создавать 
конкурентоспособные и высокоэффективные 
программные продукты. В книге акцентируется 
внимание на оптимизации логических структур 
высокого уровня, использовании эффективных 
алгоритмов вычислений, работе со строками и 
массивами данных. Вопросы повышения про- 
изводительности приложений рассматриваются 
для платформы х86 и учитывают особенности 
аппаратно-программной архитектуры послед- 


них моделей процессоров Реппит. Весь теоретический материал иллю- 
стрируется практическими примерами программ с детальными поясне- 
ниями, в которых в качестве средств разработки используются макро- 
ассемблер МАЗМ 6.14 и Миегозой У1зиа! С++ .МЕТ 2003. 


Магда Юрий Степанович, занимается разработкой систем обработ- 
ки данных с использованием персональных компьютеров, имеет ди- 
плом системного инженера ОМХ. Автор публикаций в журналах 
Сисии СеЙаг (США, 2001 г.) и Иеснотс Оезеп (США, 2002 г.) и кни- 
ги "Ассемблер. Разработка и оптимизация У\У/т4о\з-приложений" 
("БХВ-Петербург", 2003 г.). 


Магда Ю. С. 


Ассемблер. Разработка и оптимизация 
\ММпаомз-приложений 





Магазин "Новая техническая книга" 
СПб., Измайловский пр., д. 29, тел.: (812) 251-41-10 


Отдел оптовых поставок 
Е-тпай: ор1@ оПу.$рЬ.зч 


Технология создания эффективного кода 


Подробное руководство знакомит читателей с 
различными вариантами оптимизации про- 


Юрия Магда: вк 
Го грамм. 


ссембле 


р Автор рассматривает применение ассемблера и 
азработка и оптимизация 

Мом $-приложений как самостоятельного средства разработки пол- 
нофункциональных \/Мт4о\з-приложений, и как 
встроенного в составе языков высокого уровня. 
Многие аспекты применения ассемблера рас- 
сматриваются впервые. Материал книги вклю- 
чает много примеров с анализом программного 
кода. Все примеры программ являются работо- 
способными и построены таким образом, что- 
бы их можно было легко адаптировать или модифицировать для даль- 
нейшего использования. Книга будет полезна и программистам, рабо- 
тающим с языками высокого уровня, и программистам, пишущим на 
ассемблере. 





Магда Юрий Степанович, специалист по системам обработки дан- 
ных, имеет диплом системного инженера ОМХ, автор публикаций в 
журналах "Радиоаматор" (Украина), Стсий СеПаг (США), Еесгоп1с 
езеп (США). 
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Серия «Профессиональное программирование» 


Буторин Д. М$ Адепт и Зреесп АР! в ОерН (+СО-ВОМ) 448 с. 
Гайдуков С. Ореп@Е. Профессиональное программирование трехмерной 736 с. 
графики на С++ (+СО-ВОМ) 

Горнаков С. Онес{Х 9. Уроки программирования на С++ (+СО-ВОМ) 400 с. 


Климов А. М$ Адет. Графические персонажи для интерфейсов (+СО-ВОМ) 352 с. 
Корнилов Е. Программирование шахмат и других логических игр (+СО-ВОМ) 272 с. 


Корняков В. Программирование документов и приложений МЗ ОНсе в бер 496 с. 
(+СО-ВОМ) 


Магда Ю. Использование ассемблера для оптимизации программ на С++ 496 с. 
(+СО-ВОМ) 

Мержевич Е. Ускорение работы сайта 384 с. 
Михайлов А. 1С:Предприятие 7.7/8.0: системное программирование 336 с. 
Несвижский В. Программирование аппаратных средств в МИпао\из 880 с. 
(+СО-ВОМ) 

Петюшкин А. НТМЁ в М/еБ-дизайне 400 с. 
Пирогов В. М$ ЗС ЕЁ Зегуег 2000: управление и программирование 608 с. 
Плаугер П. ЗТЁ — стандартная библиотека шаблонов С++ 656 с. 
Поляков А., Брусенцев В. Программирование графики: 01+ и ОпесХ 368 с. 
(+СО-ВОМ) 

Шилдт Г. Искусство программирования на С++ 496 с. 


Серия «Аппаратные средства» 


Агуров П. Интерфейс ЦЗВ. Практика использования и программирования 576 с. 
(+СО-ВОМ) 


Серия «Системный администратор» 
Бигелоу С. Сети: поиск неисправностей, поддержка и восстановление 1200 с. 
Стахнов А. Сетевое администрирование Шпих (+СО-ВОМ) 480 с. 


Книги издательства "БХВ-Петербург" 
в продаже: 
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Внесерийные книги 


МапагакКезов. Установка и использование Мапагаке!тих 10.0 (+СО-ВОМ) 144 с. 
МапагакезоН МапагаКе!птих. Полное руководство пользователя 528 с. 
Мапайуа И/пих: полное руководство пользователя 544 с. 
Актершев С. Задачи на максимум и минимум 199 с. 
Андрианов В., Соколов А. Автомобильные охранные системы. 272 с. 
Справочное пособие 

Бернс С. Фотомагия РПоозПор. Трюки и эффекты. Полноцветное издание 448 с. 
Богданов-Катьков Н. Струйные принтеры для дома и офиса 224 с. 
Боков В. Физика магнетиков. Учебное пособие для вузов 129 с. 
Боресков А. Разработка и отладка шейдеров 496 с. 
Брайант Р., О'Халарон Д. Компьютерные системы: архитектура и 1104 с. 
программирование 


Брэй Б. Микропроцессоры |г{е!: 8086/8088, 80186/80188, 80286, 80386, 80486, 1328 с. 
Репнит, Реп#ит Рго Ргосез$ог, Репёит |, Репёит Ш, Репйит 4.Архитектура, 
программирование и интерфейсы. Шестое издание 


Бурлаков М. В. Путеводитель по АдоБе РНоюз$Вор С$ 2 688 с. 
Бутиков Е. Оптика: Учебное пособие для студентов физических 480 с. 
специальностей вузов, 2-е изд. 

Быков А. и др. АОЕМ САО/САМ/ТОМ. Черчение, модернизация, 320 с. 
механообработка (+СО-ВОМ) 

Гасфилд Д. Строки, деревья и последовательности в алгоритмах 654 с. 
Гласс Г., Эйблс К. Утх для программистов и пользователей, 3-е изд. 848 с. 
Гольдштейн Б. Стек протоколов ОКСУТ. Подсистема 1ЗУР. Справочник 480 с. 
Гольдштейн Б. Интерфейсы \5.1 и \5.2. Справочник 288 с. 
Гольдштейн Б. Системы коммутации, 2-е изд. 318 с. 
Гольдштейн Б. Са|-центры и компьютерная телефония 372 с. 
Гурова А. Герои меча и магии. По мотивам одноименной компьютерной игры 320 с. 
Данилов П. ТВе Ва\! 3. Практическая работа 288 с. 
Джазайери М, и др. Основы инженерии программного обеспечения. 2-е изд., 832 с. 


пер. с англ. 


Дорот В., Новиков Ф. Толковый словарь современной компьютерной лексики, 
3-е изд. 


Зыль С. ОМХ Мотепсз: основы применения (+СО-ВОМ) 


Зыль С. Операционная система реального времени ОМХ: 
от теории к практике, 2-е изд. (+СО-ВОМ) 


Иванов К. Сборник задач по элементарной математике для абитуриентов, 
4-е изд. 
Калашников О. Ассамблер? Это просто! Учимся программировать 


Калиновский А. Ваша домашняя страничка в Интернете. Нотераде, или 
просто "хомяк" 


Канторович Л., Акилов Г. Функциональный анализ, 4-е изд. 


Карпюк В. М$ \\ММпаоми$ ХР Рготеззюпа!. Опыт сдачи сертификационного 
экзамена 70-270 


Кертен Р. Введение в ОМХ Меиипо 2. Руководство для разработчиков 
приложений реального времени 


Климов А. Занимательное программирование на \15чца! Вазю МЕТ 
Климов А., Чеботарев И. УМ/пао\$. Народные советы 
Корнеев В., Киселев А. Современные микропроцессоры, 3-е изд. 


Кохась К. Задачи Санкт-Петербургской олимпиады школьников по 
математике 2003 года 


Кохась К. Задачи Санкт-Петербургской олимпиады школьников по 
математике 2004 года 


Кулагин Б. 34$ тах 8: Актуальное моделирование, визуализация и анимация 
Кулагин Б., Морозов Д. 34$ тах 6 и сКагацег $44 4. Анимация персонажей 
Культин Н. М за] Вазс. Освой на примерах (+СО-ВОМ) 

Культин Н. \М5чца] Вазс. Освой самостоятельно | 

Макаров Б. и др. Избранные задачи по вещественному анализу, 2-е изд. 
Малыхина М. Базы данных: основы, проектирование, использование 

Мачник Э. Фотообман в РАоюзПор 


Михайлов С., Черков А., Цветков И. 1С:Бухгалтерия 7.7. Решение типичных 
проблем пользователя 


Морозова О. Построй свой супер-сайт за 21 день! 
Новиков Б., Домбровская Г. Настройка приложений баз данных 
Очков В. Масачд 12 для студентов и инженеров 


Палмер М., Синклер Р. Проектирование и внедрение компьютерных сетей. 
Учебный курс, 2-е изд. 


Пахомов Б. С++ и Войапа С++ ВиЙаег для начинающих 

Петров Ю. Новые главы теории управления и компьютерных вычислений 
Пирогов В. Ассемблер. Учебный курс. 2-е изд. 

Пог Д. М$ \Мпаомиз ХР Ноте ЕдЙюп: недокументированные возможности 


608 с. 


256 с. 
192 с. 


352 с. 


384 с. 
224 с. 


816с. 
528 с. 


400 с. 


528 с. 
400 с. 
448 с. 
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496 с. 
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288 с. 
480 с. 
624 с. 
512 с. 
272 с. 
272 с. 


224 с. 
210 с. 
464 с. 
240 с. 


640 с. 
192 с. 
1056 с. 
768 с. 


Погорелов В. АЩоСАО 2005 для начинающих 

Половко А. Интерполяция. Методы и компьютерные технологии их реализации 
Попов А. Администрирование М/пдо\м$ с помощью \\/М!и М/МС (+СО-ВОМ) 
Попов С. Аппаратные средства мультимедиа. Видеосистема РС 

Потопахин В. Тигро Разса!. Решение сложных задач 

Правин О. Правильный самоучитель работы на компьютере, 2-е изд. 
Прохоров А. Интернет: как это работает 

Роб П. Системы баз данных: проектирование, реализация и управление, 
5-е изд. 

Роб П. Системы баз данных: проектирование, разработка и использование 
Робачевский А. Операционная система УМХ 

Романовский И. Дискретный анализ, 3-е изд. 

Рыжиков Ю. Работа над диссертацией по техническим наукам 

Скляров Д. Искусство защиты и взлома информации 


Соколов А., Андрианов В. Альтернатива сотовой связи: 
транкинговые системы 


Соколов А., Степанюк О. Защита от компьютерного терроризма 
Соломенчук В. Кпоррих — это Мпих без проблем 

Соломенчук В. Железо ПК 2005 

Соломенчук В. Железо ПК 2006 

Столлингс В. Компьютерные сети, протоколы и технологии Интернета 
Суворов К., Черемных М. Справочник Ое!рН:. Базовые классы 
Титтел Э., Чеппел Л. ТСРЛР. Учебный курс (+СО-ВОМ} 

Феличи Д. Типографика: шрифт, верстка, дизайн 

Фленов М. Библия Берн (+СО-ВОМ) 

Фленов М. Программирование в Ое!рН! глазами хакера (+СО-ВОМ) 
Фленов М. Программирование на С++ глазами хакера (+СО-ВОМ) 
Фленов М. /пих глазами хакера 

Фленов М. РНР глазами хакера 

Фленов М. Компьютер глазами хакера 

Фрей Д. АШоСАО и АШоСАО (Т для начинающих 

Частиков А. Архитекторы компьютерного мира 

Чечельницкий А. Десятипальцевый набор на клавиатуре 

Шапорев Д. М5чца| ГохРго. Уроки программирования 


Щёлоков В. Новые правила приватизации земельных участков и строений. 
Справочник землепользователя 


Яцюк О. Основы графического дизайна на базе компьютерных технологий 
(+СО-ВОМ) 
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752 с. 
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компьютерных книг 


Уважаемые господа! 


Издательство “БХВ-Петербург” приглашает специалистов в области 
компьютерных систем и информационных технологий для 
сотрудничества в качестве авторов книг по компьютерной тематике. 


Если Вы знаете и умеете то, что не знают другие, 
если у Вас много идей и творческих планов, 
если Вам не нравится то, что уже написано... 


напишите книгу 
вместе с “БХВ-Петербург” 


Ждем в нашем издательстве как опытных, так и начинающих авторов 
и надеемся на плодотворную совместную работу. 


С предложениями обращайтесь к главному редактору 
Екатерине Кондуковой 
Тел.: (812) 331-6465, 331-6469 
Е-тай: Ка @ БИ\.ги 


Россия, 199397, Санкт-Петербург, а/я 194, 
млм. БПУ.ги 








| В магазине представлена литература по 


компьютерным технологиям 
радиотехнике и электронике 
физике и математике 
экономике 


медицине 





и др. 


Низкие цены 

Прямые поставки от издательств 
Ежедневное пополнение ассортимента 

Подарки и скидки покупателям 

| 

| 
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Магазин работает с 10.00 до 20.00 
без обеденного перерыва 
выходной день — воскресенье 























Пирогов Владислав Юрьевич, кандидат 
физико-математических наук, профессор кафе- 
дры новых информационных технологий Шад- 
ринского государственного педагогического инсти- 
тута, программист с 20-петним стажем. Автор 
нескольких книг по программированию, в том 
числе: «Ассемблер для МИпдомз», «Ассемблер. 
Учебный курс» и др., а также популярного сайта 
«Ассемблер и не только» (н—р:/азт.зпадипт®К.пее.. 





Знание ассемблера и основ дизассемблирования позволяет программисту, с одной 
стороны, эффективно строить защиту своих собственных программ, а с другой — 
писать более эффективный и оптимизированный программный код. Данное практи- 
ческое руководство поможет понять механизмы функционирования исполняемых 
модулей в среде У/паомз, а также соответствие между структурами языка высо- 
кого уровня и машинного кода. Вы найдете практические примеры исследования 
исполняемого кода и узнаете основные принципы подобного исследования: иденти- 
фикацию программных структур, поиск данных и др. Изучите инструменты, исполь- 
зуемые для работы с исполняемым кодом. Освоите основы работы с программами 
ЗоМСЕ и ША Рго, которые считаются в настоящее время наиболее мощными и 
«продвинутыми» в области дизассемблирования и отладки. Большое количество 
примеров, листингов программ и иллюстраций облегчат освоение материала книги. 
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